Sicherheitsleitfaden BES12 Version 12.4 Veröffentlicht: 2016-04-08 SWD-20160408093459611 Inhalt BES12 Sicherheit............................................................................................................. 6 Neuheiten ........................................................................................................................................................................6 Sicherheitsfunktionen von Geräten ...................................................................................8 Für alle Geräte geltende Sicherheitsfunktionen..................................................................................................................8 Sicherheitsmerkmale für BlackBerry 10 Geräte................................................................................................................. 9 Sicherheitsmerkmale für das PRIV von BlackBerry ..........................................................................................................10 Sicherheitsmerkmale für alle iOS-, OS X-, Android- und Windows-Geräte......................................................................... 11 Unterstützte systemeigene iOS- und Android -Funktionen........................................................................................ 12 Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden........................................................................... 13 Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace ................................................................................... 14 Trusted Boot-Bestätigung........................................................................................................................................ 15 Unterstützung für TIMA........................................................................................................................................... 15 Sicherheitsfunktionen für Android for Work-Geräte.......................................................................................................... 16 Sicherheitsfunktionen für Geräte mit Secure Work Space ................................................................................................17 Verwenden der Good for BES12-App oder des BES12 Client ........................................................................................... 19 Verwalten der Gerätesicherheit mit BES12 ..................................................................... 21 Aktivieren von Geräten....................................................................................................................................................21 Wie geschäftliche Bereiche geschäftliche Apps und Daten schützen............................................................................... 22 Geschäftlicher Bereich auf BlackBerry 10-Geräten.................................................................................................. 22 Secure Work Space für iOS- und Android-Geräte...................................................................................................... 27 Schutz der Daten durch Verschlüsselung........................................................................................................................ 28 Verschlüsseln von Daten auf BlackBerry 10-Geräten................................................................................................ 29 Verschlüsseln von Daten in Secure Work Space ....................................................................................................... 34 Verwalten von Apps auf Geräten......................................................................................................................................35 Kontrolle von persönlichen Apps auf Geräten........................................................................................................... 36 Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten....................................................................................... 36 Good Dynamics-Produktivitätsanwendungen........................................................................................................... 41 Gesicherte Apps auf Geräten mit Secure Work Space .............................................................................................. 41 Kennwörter.....................................................................................................................................................................45 Ändern von Kennwörtern......................................................................................................................................... 45 Kennwörter für BlackBerry 10-Geräte...................................................................................................................... 48 Secure Work Space-Kennwörter...............................................................................................................................54 Datenlöschung............................................................................................................................................................... 55 Löschen aller Daten auf BlackBerry 10-Geräten....................................................................................................... 55 Vollständiges Löschen von Gerätedaten auf Geräten mit iOS, OS X, Android oder Windows .......................................58 Vollständiges Löschen geschäftlicher Daten von BlackBerry 10-Geräten.................................................................. 59 Geschäftliche Daten vollständig von iOS-, OS X-, Android- und Windows-Geräten löschen.........................................62 Sicherstellen der Kompatibilität auf Geräten....................................................................................................................64 Sicherstellen der BlackBerry 10-Geräteintegrität......................................................................................................65 Geräte mit Secure Work Space vor dem Entsperren und Hacken schützen................................................................65 Verhindern der Installation spezifischer Apps durch die Benutzer............................................................................. 66 Bestimmen des Standorts von Geräten............................................................................................................................66 Verwenden von IT-Richtlinien für die Geräteverwaltung....................................................................................................67 Einschränken und Zulassen von Gerätefunktionen................................................................................................... 67 Steuern von BlackBerry 10-Gerätefunktionen.......................................................................................................... 68 Verwalten, wie Geräte Smartcards verwenden................................................................................................................. 73 Steuern des BlackBerry Link-Zugriffs auf Geräte..............................................................................................................75 Wie BES12 Ihre Daten während der Übertragung schützt................................................ 76 Schutz von Daten während der Übertragung über die BlackBerry Infrastructure ..............................................................76 Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden............................................77 Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 ........................................................................ 77 Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte..........................................78 Authentifizierung von BES12 bei der BlackBerry Infrastructure ....................................................................................... 78 Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geräteverwaltungsdaten..........................................................................................................................................79 Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten an Geräte..................................................................................................................................................................... 79 Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen...............................................................................81 Verschlüsselung der BlackBerry Infrastructure-Verbindung...................................................................................... 81 Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät..................... 81 Verbinden von Geräten mit Ihren Ressourcen.................................................................................................................. 82 Schutz von Daten während der Übertragung zwischen BlackBerry 10 Geräten und Ihren Ressourcen ...................... 83 Schutz von Daten während der Übertragung zwischen Secure Work Space Geräten und Ihren Ressourcen............... 89 Schutz von Daten während der Übertragung mit BlackBerry Secure Connect Plus ................................................... 91 Verbinden mit einem VPN........................................................................................................................................ 92 Schützen der Kommunikation mit Geräten mithilfe von Zertifikaten................................................................................. 94 Bereitstellen von Client-Zertifikaten für Geräte......................................................................................................... 94 Verwenden von SCEP für die Anmeldung von Client-Zertifikaten auf Geräten............................................................ 96 Senden von Zertifizierungsstellenzertifikaten an Geräte............................................................................................98 Schutz von E-Mail-Nachrichten....................................................................................................................................... 99 Steuern, welche Geräte Exchange ActiveSync verwenden können............................................................................ 99 Erweitern der E-Mail-Sicherheit..............................................................................................................................100 Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens................................ 105 Verwenden von Kerberos für die einmalige Anmeldung auf Geräten........................................................................105 Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router ........................................................................ 106 Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 ..............................................................106 Installieren von BES12 in einer DMZ...................................................................................................................... 107 BlackBerry OS-Gerätesicherheit................................................................................... 109 Glossar.........................................................................................................................111 Rechtliche Hinweise..................................................................................................... 115 BES12 Sicherheit BES12 Sicherheit 1 BES12 enthält zahlreiche Funktionen, die Ihnen helfen, Sicherheit, Datenschutz, und Kontinuität für Ihr Unternehmen zu gewährleisten: • Verschlüsselung hilft, Ihre Daten während der Übertragung zu schützen • Es gibt ein Software-Entwicklungsmodell, bei dem Sicherheit im Vordergrund steht • Eine Architektur, die entwickelt wurde, um eine sichere Verbindung zwischen den E-Mail- und den Inhaltsservern Ihres Unternehmens sowie den Geräten zu schaffen • FIPS-Zertifizierung. Jede BES12-Instanz verschlüsselt alle Daten, die sie direkt speichert, und beschreibt Daten indirekt mithilfe eines FIPS-zertifizierten kryptografischen Moduls. Neuheiten In der folgenden Tabelle werden die aktualisierten Sicherheitsfunktionen für BES12 Version 12.4 aufgeführt, die in diesem Dokument beschrieben werden: Funktion Beschreibung Unterstützung für OS X-Geräte BES12 unterstützt jetzt Mac Computer, auf denen OS X (Version 10.8 und höher) ausgeführt wird. Unterstützung für Good Dynamics BES12 ermöglicht iOS- und Android-Geräten nun den Zugriff auf die Good DynamicsProduktivitäts-Apps. Sichern von geschäftlichen Daten Benutzer von BlackBerry 10-Geräten können jetzt geschäftliche Apps und Daten auf Geräten mithilfe von BlackBerry Link sichern und wiederherstellen. Sie können BES12 verwenden, um die Verschlüsselungsschlüssel zu generieren und an Geräte zu senden und den BlackBerry Link-Zugriff auf geschäftliche Anwendungen und Daten zu steuern. BlackBerry Secure Connect PlusUnterstützung für iOS-Geräte Diese Version ermöglicht die Unterstützung von iOS-Geräten mit iOS 9 oder höher und der Aktivierungsart „MDM-Steuerelemente“. Sie können zulassen, dass alle Apps auf iOSGeräten einen sicheren Tunnel verwenden, oder Sie können festlegen, welche Apps „Per App VPN“ verwenden. Unterstützung für OpenTrust PKISoftware Wenn Ihre Organisation zur Bereitstellung von PKI-Diensten die OpenTrust-Software verwendet, können Sie die zertifikatsbasierte Authentifizierung auf die Geräte ausweiten, die mithilfe von BES12 verwaltet werden. Sie können eine Verbindung mit OpenTrust PKI 6 BES12 Sicherheit Funktion Beschreibung oder OpenTrust CMS konfigurieren und Profile verwenden, um das Zertifizierungsstellenzertifikat sowie Clientzertifikate an Geräte zu senden. Beschränkungen für Cipher Suites Mit BES12 können Sie zudem einschränken, welche Cipher Suites der SSL-Bibliothek von auf BlackBerry 10-Geräten BlackBerry 10-Geräten unterstützt werden. Sie können dies tun, wenn eine Cipher Suite entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer Organisation diese Cipher Suite für die Kommunikation nicht benötigen. Bestimmen des Standorts von Android-Geräten Profilen für die Standortbestimmung werden nun auf Android-Geräten unterstützt. 7 Sicherheitsfunktionen von Geräten Sicherheitsfunktionen von Geräten 2 BES12 verwaltet die Sicherheitsfunktionen von Geräten mit BlackBerry 10, BlackBerry OS (Version 5.0 bis 7.1), iOS, OS X, Android oder Windows. Jeder Gerätetyp stellt eine Reihe von eigenen Sicherheitsfunktionen zur Verfügung, die Sie mit BES12 verwalten können. Für alle Geräte geltende Sicherheitsfunktionen Die folgenden Sicherheitsfunktionen gelten für alle Geräte und Geräteverwaltungsoptionen: Funktion Beschreibung Verwaltungsbefehle Sämtliche Geräte ermöglichen es Ihnen bzw. den Benutzern, ein Gerät zu sperren, Gerätekennwörter zu ändern und Informationen von Geräten zu löschen. Einige Geräteverwaltungsoptionen bieten zusätzliche Unterstützung für Verwaltungsbefehle. Steuerelement für Kennwort und Gerät Alle Geräte ermöglichen das Festlegen von Kennwortanforderungen und das Deaktivieren von Gerätefunktionen (z. B. der Kamera) mit IT-Richtlinienregeln. Einige Geräteverwaltungsoptionen bieten verbesserte IT-Richtliniensätze für eine detailliertere Steuerung. Steuerung der Netzwerkverbindung Alle Geräte unterstützen Wi-Fi-Profile, mit denen Sie festlegen können, wie Geräte eine Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von Wi-Fi herstellen können. Einige Optionen zur Geräteverwaltung unterstützen auch VPN und EnterpriseKonnektivität über die BlackBerry Infrastructure. Kompatibilität Alle Geräteverwaltungsoptionen ermöglichen die Durchsetzung der Anforderungen des Unternehmens an Geräte, z. B. die Installation obligatorischer Apps. Einige Geräte ermöglichen es Ihnen außerdem, entsperrte oder gehackte Geräte oder Geräte, die nicht über eine bestimmte Betriebssystemversion verfügen, einzuschränken. App-Verwaltung Alle Geräte ermöglichen die Installation geschäftlicher Apps auf Geräten. Sie können angeben, ob Apps auf Geräten erforderlich sind, und Sie können sehen, ob geschäftliche Apps auf einem Gerät installiert sind. Einige Geräteverwaltungsoptionen ermöglichen die Trennung geschäftlicher und persönlicher Apps mithilfe von Containern oder geschäftlichen Profilen. 8 Sicherheitsfunktionen von Geräten Funktion Beschreibung Zertifikatsbasierte Authentifizierung Alle Geräte unterstützen die zertifikatsbasierte Authentifizierung zwischen Geräten und Netzwerken oder Servern in der Unternehmensumgebung. Alle Geräte unterstützen das Senden von Zertifizierungsstellenzertifikaten an Geräte. Die meisten Geräte unterstützen das Senden von Client-Zertifikaten an Geräte. Einige Geräte ermöglichen die Registrierung von Client-Zertifikaten auf Geräten mittels SCEP. BES12 kann Profile und Zertifikate automatisch entfernen, wenn ein Gerät gegen eine der Bedingungen für Richtlinientreue (z. B. im Hinblick auf Jailbreak oder Rooting) verstößt. Damit wird verhindert, dass das Gerät eine Verbindung mit den Ressourcen Ihres Unternehmens herstellt, wenn die zertifikatsbasierte Authentifizierung verwendet wird. Steuern, welche Geräte Zugriff auf Wenn Ihr Unternehmen Exchange ActiveSync verwendet, unterstützen alle Geräte Exchange ActiveSync haben Microsoft Exchange-Gatekeeping. Sie können Microsoft Exchange konfigurieren, um die dürfen Nutzung von Exchange ActiveSync durch Geräte zu unterbinden, die nicht explizit auf einer zulässigen Liste in Microsoft Exchange aufgeführt sind. Mithilfe von Gatekeeping in BES12 können Sie steuern, welche Geräte der zulässigen Liste hinzugefügt werden. Wenn ein Gerät zur zulässigen Liste hinzugefügt wird, kann ein Benutzer auf das geschäftliche E-Mail-Konto und andere Informationen auf dem Gerät zugreifen. Sicherheitsmerkmale für BlackBerry 10 Geräte BlackBerry 10-Geräte wurden entwickelt, um Anwendern und Unternehmen ein hohes Maß an Sicherheit zu bieten. Die folgende Tabelle bietet eine Übersicht über viele der Sicherheitsfunktionen, die mit durch BES12 verwalteten BlackBerry 10Geräten zur Verfügung stehen. Funktion Beschreibung BlackBerry 10 OS-Schutz Das BlackBerry 10 OS ist manipulationssicher, robust und sicher und umfasst viele Sicherheitsmerkmale, die Daten, Apps und Ressourcen auf Geräten schützen. Sichere Verbindungen zu den Ressourcen Ihres Unternehmens BES12- und BlackBerry 10-Geräte verfügen durch BES12 und die BlackBerry Infrastructure über eine sichere Verbindung mit dem Netzwerk Ihres Unternehmens. BlackBerry Balance-Technologie BlackBerry Balance-Technologie ermöglicht Ihnen die Einrichtung eines persönlichen Bereichs und eines geschäftlichen Bereichs für Nutzer. Im persönlichen Bereich sind Ihre Befugnisse beschränkt, im geschäftlichen Bereich haben Sie die volle Kontrolle über Apps und Daten. Alternativ haben Sie die Möglichkeit, nur einen geschäftlichen Bereich auf dem Gerät zu erstellen, sodass Ihr Unternehmen die volle Kontrolle über Apps und Daten auf dem Gerät behält. 9 Sicherheitsfunktionen von Geräten Funktion Beschreibung IT-Richtliniensatz BlackBerry 10-Geräte unterstützen einen umfassenden Satz von IT-Richtlinienregeln, die Ihnen einen hohen Grad an Kontrolle über die Gerätefunktionen geben. VPN Sie können geschäftliche VPN-Profile an BlackBerry 10-Geräte senden, damit diese VPNZugang zum Netzwerk Ihres Unternehmens erhalten. App-Verwaltung Sie können kontrollieren, welche Apps der Benutzer im geschäftlichen Bereich installieren darf. Sie können interne Apps im geschäftlichen Bereich installieren und löschen. Verwaltungsbefehle für den geschäftlichen Bereich BES12 enthält Verwaltungsbefehle, mit denen Sie das Gerät und die Kennwörter des geschäftlichen Bereichs zurücksetzen können. BES12 enthält Verwaltungsbefehle, mit denen Sie sämtliche Daten auf dem Gerät oder im geschäftlichen Bereich vollständig löschen können. Sicherheitsmerkmale für das PRIV von BlackBerry Das PRIV von BlackBerry ist ein professionelles und sicheres Gerät, das die Sicherheitsfunktionen von BlackBerry für Android OS mitbringt. Die folgende Tabelle bietet eine Zusammenfassung vieler PRIV-Sicherheitsfunktionen, die mit BES12 verwaltet werden. Funktion Beschreibung Mehrstufige Verteidigung Sicherheitsmaßnahmen sind in jede Ebene des Geräts integriert: Hardware, Firmware, Betriebssystem und in den Apps für sichere Kommunikation und Zusammenarbeit. Daraus ergibt sich ein mehrstufiger Verteidigungsansatz, der ein neues Maß an Sicherheit für Android bietet. Jeder Bereich des Geräts arbeitet nahtlos mit jedem anderen zusammen, um die Privatsphäre zu schützen und die Integrität und Vertraulichkeit von Apps und Daten zu bewahren. Hardware-Vertrauensstamm Ein hardwarebasierter Vertrauensstamm wird bei der Herstellung des Prozessors eingerichtet, indem diesem die kryptografischen Ressourcen hinzugefügt werden, die später für die Authentifizierung des Geräts und für Secure Boot verwendet werden sollen. BlackBerry Secure Compound BlackBerry Secure Compound bietet eine vertrauenswürdige Umgebung zur Speicherung vertraulicher Daten und zum Ausführen von sicherheitsorientierten Apps wie BlackBerry Integrity Detection. 10 Sicherheitsfunktionen von Geräten Funktion Beschreibung Secure Boot Der sichere Startvorgang stellt sicher, dass nur ein von BlackBerry signiertes Betriebssystem, das nicht manipuliert wurde, auf dem PRIV geladen werden kann. In jeder Phase des sicheren Startvorgangs wird überprüft, ob die nächste Komponente nicht manipuliert wurde, bevor sie geladen wird. Die Downgrade-Prävention verhindert, dass ein Benutzer nach einer Aktualisierung eine alte Version des Betriebssystems auf dem PRIV installiert. Dies schützt vor Situationen, in denen ein Benutzer eine Betriebssystemversion ohne die neuesten Sicherheitsupdates installiert oder ein böswilliger Benutzer eine in einer älteren Version vorhandene Schwachstelle ausnutzt. BlackBerry Integrity Detection BlackBerry Integrity Detection überwacht kontinuierlich Ereignisse oder Konfigurationsänderungen, die darauf hinweisen könnten, dass die Sicherheit des Geräts beeinträchtigt ist. BES12 lässt sich in BlackBerry Integrity Detection integrieren, um z. B. eine Warnung zu generieren, das Gerät unter Quarantäne zu stellen, damit keine Zugriffe auf geschäftliche Ressourcen mehr erfolgen können oder das Gerät vollständig zu löschen, wenn eine potenzielle Gefährdung erkannt wird. Kernel-Härtung Auf dem PRIV läuft ein Linux-Kernel, der mit Patches und Änderungen der Konfiguration gehärtet wurde. Damit ist die Wahrscheinlichkeit einer Kompromittierung durch eine Sicherheitslücke geringer. Außerdem werden Prozesse mit bestimmten erhöhten Berechtigungen nur innerhalb eines auf Integrität geprüften Dateisystems auf einem von BlackBerry signierten Image ausgeführt. Verschlüsselte Benutzerdaten Standardmäßig werden alle Benutzerdaten (persönliche und geschäftliche) mit einer FIPS 140-2-kompatiblen Kryptografie-Engine verschlüsselt. Verschlüsselungsschlüssel werden durch BlackBerry Secure Compound geschützt. BES12-Aktivierungsarten Das PRIV unterstützt die Aktivierungsarten "Android for Work", "Secure Work Space" und "MDM-Steuerelemente". Sicherheitsmerkmale für alle iOS-, OS X-, Android- und Windows-Geräte Die Aktivierungsart „MDM-Steuerelemente“ ermöglicht die Verwendung der standardmäßig auf iOS-, OS X-, Android- und Windows-Geräten verfügbaren Sicherheitsfunktionen. Es wird kein separater, verschlüsselter Container erstellt, die geschäftlichen Apps und Daten der Benutzer werden nicht von den persönlichen getrennt. MDM-Steuerelemente lassen einige Bedenken in puncto Benutzer-Datenschutz unbeantwortet und bieten keine erhöhte Sicherheit. MDM-Steuerelemente sind 11 Sicherheitsfunktionen von Geräten normalerweise nicht empfehlenswert, wenn ein Unternehmen strenge Sicherheitsanforderungen zur Verhinderung von Datenverlust/-diebstahl hat. Je nach Gerätetyp stehen zusätzlich zu den Sicherheitsfunktionen für alle Gerätetypen die folgenden Sicherheitsfunktionen zur Verfügung: Gerät Sicherheitsfunktion iOS • VPN-Verbindung über VPN-Profile • SCEP-Registrierung von Zertifikaten • Durchsetzung von Richtlinientreue auf Geräten mit Jailbreak • IT-Richtlinienregeln zur Steuerung verschiedener systemeigener Apps, Gerätefunktionen und überwachter Geräte sowie zum Konfigurieren von Einstufungen für zulässigen Inhalt • Sichere Verbindung über BlackBerry Secure Connect Plus (erfordert Aktivierungsart „MDM-Steuerelemente“) • VPN-Verbindung über VPN-Profile • SCEP-Registrierung von Zertifikaten • IT-Richtlinienregeln zur Steuerung von Kennwortanforderungen • Durchsetzung von Richtlinientreue auf gerooteten Geräten • IT-Richtlinienregel für die Geräteverschlüsselung • IT-Richtlinienregeln zur Kontrolle der Konnektivität über Bluetooth oder NFC, der Gerätefunktionen, der nativen Apps und der firmeneigenen Geräte • Windows 10-Geräte unterstützen VPN-Verbindungen über VPN-Profile OS X Android Windows Unterstützte systemeigene iOS- und Android -Funktionen Bei den folgenden Funktionen handelt es sich um systemeigene iOS- und Android-Funktionen, die auch von BES12 unterstützt werden. Weitere Informationen zu diesen Funktionen finden Sie in der iOS- und der Android-Dokumentation, die von Apple und Google verfügbar ist. Funktion Beschreibung Verschlüsselung des gesamten Datenträgers Durch die Verschlüsselung des gesamten Datenträgers wird sichergestellt, dass alle Daten eines Geräts verschlüsselt gespeichert werden und Benutzer mit einer Verschlüsselungs-PIN oder einem Verschlüsselungskennwort darauf zugreifen können. BES12 unterstützt die systemeigene Verschlüsselung des gesamten Datenträgers, die unter iOS und Android angeboten wird. 12 Sicherheitsfunktionen von Geräten Funktion Beschreibung Zufällige Anordnung des Adressraumlayouts Durch die zufällige Anordnung des Adressraumlayouts ist es für Angreifer schwerer, Geräte zu attackieren und eigenen Code auszuführen. Durch diese Technik wird der Ablageort der Systemkomponenten im Speicher zufällig angeordnet, sodass Schwachstellen für Angreifer nicht leicht erkennbar sind. BES12 unterstützt die systemeigene zufällige Anordnung des Layouts des Adressraums, die unter iOS und Android angeboten wird. Sicherheitsmerkmale für Samsung-Geräte, die KNOX MDM verwenden BES12 kann Samsung-Geräte mithilfe von KNOX MDM verwalten. KNOX MDM umfasst die Sicherheitsfunktionen, die Samsung für die Geräte bereitstellt. Wenn ein Gerät aktiviert wird, erkennt BES12 automatisch, ob das Gerät KNOX MDM unterstützt. In der folgenden Tabelle werden die neben den standardmäßigen Android-Sicherheitsmerkmalen zusätzlich verfügbaren Sicherheitsfunktionen für Geräte, die KNOX MDM unterstützen, beschrieben: Sicherheitsfunktion Beschreibung VPN-Verbindung BES12 umfasst VPN-Profile, die Sie an Geräte mit KNOX MDM senden können, damit diese eine Verbindung mit einem IPSec- oder SSL-VPN herstellen können. Sie können eine kennwort- oder zertifikatbasierte Authentifizierung verwenden. Verbesserter IT-Richtliniensatz Sie können Samsung KNOX MDM-Geräte über einen verbesserten IT-Richtliniensatz steuern. Beispielsweise können Sie mithilfe von Regeln das Gerätekennwort, systemeigene Apps, Gerätefunktionalität, Konnektivität (einschließlich Bluetooth und NFC) und Browsereinstellungen steuern. Verbesserte App-Verwaltung Sie können Apps im Hintergrund installieren und deinstallieren, eingeschränkte Apps deaktivieren, die vor Durchsetzen der Richtlinie durch BES12 installiert wurden, und die Installation eingeschränkter Apps unterbinden. Geräte mit KNOX MDM können ohne einen Container oder mit einem Container wie KNOX Workspace oder Secure Work Space aktiviert werden. 13 Sicherheitsfunktionen von Geräten Sicherheitsfunktionen für Samsung-Geräte mit KNOX Workspace Samsung KNOX Workspace ist ein verschlüsselter kennwortgeschützter Container auf einem Samsung-Gerät für geschäftliche Apps und Daten. Er trennt die persönlichen Apps und Daten eines Benutzers von denen des Unternehmens und schützt letztere mithilfe erweiterter, von Samsung entwickelter Sicherheits- und Verwaltungsfunktionen. Wenn Sie KNOX Workspace verwenden, können Sie die Sicherheitsfunktionen für KNOX MDM-Geräte und die in der folgenden Tabelle aufgeführten Sicherheitsfunktionen nutzen: Sicherheitsfunktion Beschreibung Sicherheit der Hardware Standardmäßig werden für Samsung-Geräte, die KNOX Workspace unterstützen, die folgenden Sicherheitsfunktionen für Hardware und Betriebssystem verwendet: • Secure Boot und Trusted Boot, die die Echtheit von Kernel und Betriebssystem prüfen • TIMA, das den Kernel überprüft und auf Änderungen überwacht SE für Android Standardmäßig verwenden Samsung-Geräte SE für Android. SE für Android teilt das Betriebssystem in Sicherheitsdomänen auf, damit Apps und Prozesse keinen unbefugten Zugriff auf Daten und Ressourcen erhalten. Apps außerhalb des KNOX Workspace erhalten beispielsweise keinen Zugriff auf App-Daten im geschäftlichen Bereich. Containerverschlüsselung Standardmäßig ist auf Samsung-Geräten der KNOX Workspace mit AES-256 verschlüsselt. Verbesserter IT-Richtliniensatz Sie können den KNOX Workspace über einen verbesserten IT-Richtliniensatz steuern. Beispielsweise können Sie über Regeln folgende Funktionen steuern: • Kennwort für geschäftlichen Bereich • Ob geschäftliche Apps Zertifikate anhand von CRLs prüfen sollten • Trusted Boot-Bestätigung • Trennung von geschäftlichen und persönlichen Daten (beispielsweise, ob geschäftliche Dateien im persönlichen Bereich zulässig sind) • Ob geschäftliche und persönliche Daten wie Kontakte, Kalender und Benachrichtigungen synchronisiert werden können • Smartcard-Authentifizierung für Browser und E-Mail • Konnektivität, einschließlich Bluetooth und NFC • Browsereinstellungen 14 Sicherheitsfunktionen von Geräten Sicherheitsfunktion Beschreibung Verwaltungsbefehle für den geschäftlichen Bereich BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich zurücksetzen und den geschäftlichen Bereich entfernen können. Zertifikatbasierte Authentifizierung Sie können Zertifikate mithilfe von SCEP an Geräte senden. Die Geräte können diese mittels SCEP Zertifikate für VPN-, Exchange ActiveSync- und Wi-Fi-Verbindungen verwenden. Sichere Verbindung über BlackBerry Secure Connect Plus Sie können BES12 und Geräte mit KNOX Workspace zum Herstellen einer sicheren Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus konfigurieren. Zertifizierung KNOX Workspace hat folgende Zertifizierungen: • FIPS 140-2 Level 1 für Daten im Ruhezustand und während der Übertragung • DISA MOS SRG Compliance Weitere Informationen finden Sie unter https://www.samsungknox.com/en/products/knoxworkspace/technical. Trusted Boot-Bestätigung Trusted Boot ist eine Samsung KNOX-Funktion, die Kernel und Betriebssystem prüft, wenn ein Gerät gestartet wird. Trusted Boot überprüft die Integrität von Geräten mit einem KNOX Workspace, damit Sie wissen, dass keine unzulässige Firmware ausgeführt wird. Wenn ein Benutzer nicht genehmigte Firmware installiert, löst Trusted Boot das KNOX-Garantie-Bit aus, auf den KNOX Workspace kann nicht mehr zugegriffen werden, und Sie können das Gerät nicht mehr mit Samsung KNOX verwalten. Ist das Gerät verschlüsselt, kann es darüber hinaus nicht mehr verwendet werden. Standardmäßig ist die Trusted Boot-Überprüfung deaktiviert. Sie können Trusted Boot über die IT-Richtlinienregel "Trusted Boot-Bestätigung aktivieren" aktivieren. Weitere Informationen über diese Regel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/. Weitere Informationen zu Trusted Boot finden Sie unter https://www.samsungknox.com/en/products/knox-workspace. Unterstützung für TIMA TIMA prüft, ob der Geräte-Kernel während der Laufzeit beschädigt wurde. Wenn Sie ein Gerät mit KNOX Workspace aktivieren, unterstützt BES12 die folgenden Elemente von TIMA: • TIMA CCM, das Client-Zertifikate speichert, die von Apps zum Ver- und Entschlüsseln, Signieren und für die Inhaltsprüfung verwendet werden können. TIMA CCM ähnelt einer Smartcard. BES12 speichert automatisch Wi-FiZertifikate, für die Konnektivität mit der BlackBerry Infrastructure erforderliche Zertifikate, freigegebene Zertifikate, Benutzerzertifikate und Benutzeranmeldeinformationen im TIMA CCM. Nur zugelassene Apps im KNOX Workspace, 15 Sicherheitsfunktionen von Geräten denen der Zertifikatalias bekannt ist, können auf Zertifikate im TIMA CCM zugreifen. CA-Zertifikate werden nicht im TIMA CCM, sondern im Zertifikatspeicher des KNOX Workspace gespeichert. Diese Funktion steht für Geräte zur Verfügung, die KNOX 2.1 oder höher unterstützen. • TIMA-Schlüsselspeicher, in dem die Schlüssel zur Verschlüsselung des KNOX Workspace gespeichert werden und der für Apps Dienste zum Generieren und Pflegen von Kryptografieschlüsseln bietet. Sicherheitsfunktionen für Android for WorkGeräte Android for Work ist eine von Google entwickelte Funktion, die zusätzliche Sicherheit für Unternehmen bietet, in denen AndroidGeräte verwaltet werden sollen. Mit ihr wird ein geschäftliches Profil erstellt, das die geschäftlichen Apps und Daten enthält. Wenn Sie Android for Work verwenden, können Sie die Sicherheitsfunktionen für alle Geräte und die in der folgenden Tabelle aufgeführten Sicherheitsfunktionen nutzen: Funktion Beschreibung Geräteverschlüsselung Standardmäßig wird ein mit Android for Work aktiviertes Gerät vollständig verschlüsselt. Geschäftliches Profil Wenn Sie ein Gerät mit Android for Work aktivieren, wird ein geschäftliches Profil erstellt, das geschäftliche Apps von persönlichen Apps trennt. Das geschäftliche Profil verfügt über ein eigenes Dateisystem, eigene App-Sandboxen und einen eigenen ZertifikatSchlüsselspeicher. Verwaltungsbefehle für das geschäftliche Profil BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) das geschäftliche Profil sperren oder entfernen können. Zertifikatverwaltung Sie können Clientzertifikate und CA-Zertifikate unter Verwendung verschiedener Arten von Profilen an Geräte senden, je nachdem, woher ein Zertifikat stammt. App-Verwaltung Sie können erforderliche Apps für den geschäftlichen Bereich festlegen und sicherstellen, dass die Geräte alle Vorschriften erfüllen. Alle Apps, die Sie bereitstellen, sind geschäftliche Apps, die in App-Sandboxen im geschäftlichen Profil installiert werden. Sie können App-Konfigurationen einrichten, um die Merkmale von Apps festzulegen. Sichere Verbindung über BlackBerry Secure Connect Plus Sie können BES12- und Android for Work-Geräte zum Herstellen einer sicheren Verbindung mit dem Netzwerk des Unternehmens unter Verwendung von BlackBerry Secure Connect Plus konfigurieren. Hierfür müssen die Geräte mit der Aktivierungsart "Geschäftlich und persönlich – Benutzer-Datenschutz (Android for Work – Premium)" oder "Nur geschäftlicher Bereich (Android for Work – Premium)" aktiviert werden. 16 Sicherheitsfunktionen von Geräten Sicherheitsfunktionen für Geräte mit Secure Work Space Secure Work Space ist ein Container, der ein höheres Maß an Kontrolle und Sicherheit für iOS- und Android-Geräte bietet. Secure Work Space umfasst gesicherte Apps, die geschützt und von persönlichen Apps und Daten getrennt werden. Die gesicherten Apps umfassen eine integrierte E-Mail-, Kontakte- und Kalender-App, einen sicheren Browser auf Unternehmensebene und eine App zum sicheren Anzeigen und Bearbeiten von Dokumenten. Mithilfe des geschäftlichen Browsers können Benutzer das geschäftliche Intranet und das Internet sicher durchsuchen. In der folgenden Tabelle sind die Secure Work Space-spezifischen Sicherheitsfunktionen aufgeführt: Funktion Beschreibung Schutz von Daten während der BES12 schützt Daten, die zwischen BES12 und einem Gerät mit Secure Work Space Übertragung zwischen BES12 und übertragen werden. BES12 und ein Gerät können mithilfe des TLS-Protokolls mit dem einem Gerät AES-256-Algorithmus kommunizieren. Fähigkeit, eine Verbindung zu geschäftlichen Ressourcen ohne VPN oder eingehende Ports in der Firewall aufzubauen Schutz der Daten im geschäftlichen Bereich auf einem Gerät Ein Gerät mit Secure Work Space sendet Daten an BlackBerry Infrastructure, was anschließend mit BES12 über den von ausgehendem Datenverkehr initiierten und bidirektionalen Port 3101 kommuniziert. Die Daten werden vom BES12 über den gleichen Pfad zurück zum Gerät transportiert. • Ein geschäftlicher Bereich enthält gesicherte Apps. Gesicherte Apps sind geschäftliche Apps, die den geschäftlichen Bereich durch zusätzlichen Schutz sichern. • Standardmäßig schützen gesicherte Apps ihre Daten mithilfe der AES-256Verschlüsselung. Wenn Sie wählen, dass alle Apps auf Daten im geschäftlichen Bereich zugreifen dürfen, dann erfolgt keine Verschlüsselung der Daten gesicherter Apps. • Gesicherte Apps verschlüsseln Kennwörter mit einem Hash, bevor sie gespeichert werden. • Der geschäftliche Bereich isoliert Daten im geschäftlichen Bereich von anderen Daten. Eine gesicherte App kann nur mit einer anderen gesicherten App kommunizieren und mit ihr Daten austauschen, außer Sie lassen zu, dass alle Apps auf Daten im geschäftlichen Bereich zugreifen dürfen. • Der geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer gesicherten App in eine andere gesicherte App zu kopieren und einzufügen, jedoch nicht in eine geschäftliche oder persönliche App. 17 Sicherheitsfunktionen von Geräten Funktion Beschreibung FIPS-Zertifizierung für die Verschlüsselung von Daten im geschäftlichen Bereich Der geschäftliche Bereich verschlüsselt alle direkt gespeicherten Daten und schreibt mithilfe eines FIPS-zertifizierten kryptografischen Moduls indirekt in Dateien. Verbesserter IT-Richtliniensatz Mit dem Secure Work Space-IT-Richtliniensatz können Sie ein Kennwort für den geschäftlichen Bereich konfigurieren, vorgeben, was auf Geräten nach einem bestimmten Zeitraum der Inaktivität passieren soll, und geschäftliche Kontakte steuern. Verwaltungsbefehle für den geschäftlichen Bereich BES12 umfasst Verwaltungsbefehle, mit deren Hilfe Sie (oder ein Benutzer) nur den geschäftlichen Bereich sperren, das Kennwort für den geschäftlichen Bereich zurücksetzen und den geschäftlichen Bereich entfernen können. Schutz des Betriebssystems • Der geschäftliche Bereich kann einen Vorgang für eine gesicherte App, die nicht mehr reagiert, neu starten, ohne dass sich dies auf andere Vorgänge negativ auswirkt. • Der geschäftliche Bereich überprüft Anforderungen, die Apps an Ressourcen auf dem Gerät stellen. Schutz von App-Daten mithilfe von Der geschäftliche Bereich verwendet Sandboxing, um Funktionen und Berechtigungen Sandboxing von gesicherten Apps, die auf dem Gerät ausgeführt werden, zu trennen und einzuschränken. Jeder App-Prozess im geschäftlichen Bereich wird in einer eigenen Sandbox ausgeführt. Der geschäftliche Bereich überprüft die Anforderungen, die die Vorgänge einer gesicherten App an Speicher außerhalb der Sandbox stellen. Verwaltung von Berechtigungen für den Zugriff auf Funktionen Der geschäftliche Bereich überprüft jede Anforderung, die eine gesicherte App stellt, um auf eine Funktion auf dem Gerät zuzugreifen. Möglichkeit, Ihre eigenen gesicherten Apps hinzuzufügen Ihr Unternehmen kann interne Apps in gesicherte Apps, die im geschäftlichen Bereich installiert und ausgeführt werden können, konvertieren. Zum Konvertieren einer App in eine gesicherte App müssen Sie die binäre Datei der App mithilfe der BES12Verwaltungskonsole sichern. Anschließend muss der App-Entwickler die App neu signieren (und bei Bedarf bei einer iOS-App eine Berechtigungsdatei erstellen). Schließlich können Sie die App im geschäftlichen Bereich auf Geräten installieren. Möglichkeit, gesicherte Apps von anderen Anbietern hinzuzufügen Drittentwickler von Apps können ihre Apps sichern und neu signieren und sie im App Store oder in Google Play verfügbar machen, sodass Sie sie an Benutzer senden können. Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt werden. Nur der App-Anbieter kann Apps sichern und neu signieren, sodass sie im geschäftlichen Bereich installiert werden können. 18 Sicherheitsfunktionen von Geräten Funktion Beschreibung Schutz des Kontomanagers auf einem Gerät Einige Geräte nutzen einen Kontomanager, um Anmeldeinformationen für verschiedene Benutzerkonten zu speichern. Der geschäftliche Bereich schützt die von gesicherten Apps gespeicherten Anmeldeinformationen, sodass die Anmeldeinformationen für gesicherte Apps freigegeben sind, jedoch nicht für andere Apps. Schutz der gesicherten Apps vor Trojanern und Schadsoftware Der geschäftliche Bereich fertigt Fingerabdrücke von Apps an, um sicherzustellen, dass nur bekannte und vertrauenswürdige Apps als gesicherte Apps ausgeführt werden können. Gesicherte Apps werden überprüft, bevor sie an den geschäftlichen Bereich eines Geräts gesendet werden und jedes Mal, wenn das Gerät die Apps ausführt. Erkennen eines entsperrten oder gehackten Status Wenn ein Gerät entsperrt oder gehackt wurde, hat der Benutzer Administratorrechte beim Zugriff auf das Betriebssystem des Geräts. BES12 erkennt, ob ein Gerät entsperrt oder gehackt wurde. Sie können den Benutzer benachrichtigen oder auffordern, so genannte Jailbreak-Software oder Rooting-Software von dem Gerät zu entfernen. Wenn ein Gerät entsperrt oder gehackt wurde, kann der Benutzer den geschäftlichen Bereich nicht installieren bzw. nicht auf diesen zugreifen, wenn er bereits installiert wurde. Erlaubte und eingeschränkte EMail-Domänen Um Datenverlust zu verhindern, unterstützen Geräte mit Secure Work Space erlaubte und eingeschränkte Domänen für E-Mail-, Kalender- und Terminplanerdaten. Die erlaubten und eingeschränkten Domänenlisten bestimmen, welche Links der Benutzer von seinen geschäftlichen E-Mail- und Terminplanerdaten aufrufen kann, und an wen der Benutzer E-Mail-Nachrichten, Kalendereinladungen und Terminplanerdaten senden kann. Verwandte Informationen Secure Work Space für iOS- und Android-Geräte, auf Seite 27 Verwenden der Good for BES12-App oder des BES12 Client Die Good for BES12-App auf iOS Geräten und der BES12 Client auf Android- und Windows Phone 8.x-Geräte ermöglicht BES12 die Kommunikation mit den Geräten. Beide Apps verwenden ein FIPS-zertifiziertes kryptografisches Modul, um alle Daten zu verschlüsseln, die sie direkt speichern und indirekt in Dateien schreiben. Zum Aktivieren von iOS-, Android- und Windows Phone-Geräten mit BES12 müssen Benutzer zuerst die Good for BES12-App oder den BES12 Client auf den Geräten installieren. Benutzer können die aktuelle Version der Good for BES12-App aus dem App Store für iOS-Geräte, den BES12 Clientvon Google Play für Android-Geräte oder vom Windows Marketplace für Geräte mit Windows Phone herunterladen. Nachdem Benutzer ihre Geräte aktiviert haben, bietet die Good for BES12-App oder der BES12 Client folgende Möglichkeiten: • Überprüfung der Kompatibilität ihrer Geräte mit den Standards Ihres Unternehmens 19 Sicherheitsfunktionen von Geräten • Ansicht der Profile, die ihren Benutzerkonten zugewiesen sind • Ansicht der IT-Richtlinienregeln, die ihren Benutzerkonten zugewiesen sind • Deaktivieren ihrer Geräte Auf Windows 10- und OS X-Geräten wird die Good for BES12-App oder der BES12 Client nicht verwendet. 20 Verwalten der Gerätesicherheit mit BES12 Verwalten der Gerätesicherheit mit BES12 3 Abhängig vom Gerätetyp bietet BES12 diverse Verwaltungsfunktionen für Geräte. Die verfügbaren Funktionen hängen auch von den Geräteverwaltungsoptionen ab, die Sie beim Aktivieren der Geräte einstellen. Aktivieren von Geräten Bei der Geräteaktivierung wird ein Gerät mit einem Benutzerkonto in BES12 verknüpft und ein sicherer Kommunikationskanal zwischen dem Gerät und BES12 über die BlackBerry Infrastructure hergestellt. Nachdem ein Gerät aktiviert wurde, können Sie das Gerät mit BES12 verwalten. Zur Sicherung des Aktivierungsprozesses müssen die Benutzer ein Kennwort eingeben, um ein Gerät zu aktivieren. Sie können festlegen, wie lange ein Aktivierungskennwort gültig bleiben soll, bevor es abläuft. Außerdem können Sie die Standardlänge des Kennworts für das automatisch generierte Kennwort angeben, das in der Aktivierungs-E-Mail an den Benutzer gesendet wird. Standardmäßig werden Benutzer in der BlackBerry Infrastructure registriert, wenn Sie einen Benutzer zu BES12 hinzufügen. Die an die BlackBerry Infrastructure gesendeten Informationen werden auf sichere Weise gesendet und gespeichert. Sie können die Benutzerregistrierung bei der BlackBerry Infrastructure deaktivieren, wenn Sie keine Benutzerinformationen an BlackBerry senden möchten. Der Vorteil der Registrierung ist, dass Benutzer die Serveradresse nicht eingeben müssen, wenn sie die Aktivierung eines Geräts durchführen; sie müssen nur ihre E-Mail-Adresse und ihr Kennwort eingeben. Der Enterprise Management Agent auf BlackBerry 10-Geräten, die Good for BES12-App oder der BES12 Client kommuniziert dann mit der BlackBerry Infrastructure, um die Serveradresse abzurufen. Eine sichere Verbindung mit BES12 wird mit minimalem Eingriff vonseiten des Benutzers hergestellt. Aktivierungsarten konfigurieren den Grad der Kontrolle, die Sie über aktivierte Geräte haben. Beispielsweise können Sie die volle Kontrolle über ein Gerät erhalten, das Sie an einen Benutzer ausgeben, oder sicherstellen, dass Sie keine Kontrolle über die privaten Daten eines Geräts haben, das einem Benutzer gehört und das er zur Arbeit mitbringt. Welche Aktivierungsarten Ihr Unternehmen verwenden kann, ist abhängig von den Gerätetypen, die Sie verwalten, und den Lizenzen, die Sie erworben haben. Weitere Informationen über die Aktivierung von Geräten und Aktivierungsarten finden Sie in der Dokumentation für Administratoren. Datenflüsse zur Aktivierung finden Sie im Abschnitt Architektur. 21 Verwalten der Gerätesicherheit mit BES12 Wie geschäftliche Bereiche geschäftliche Apps und Daten schützen In Abhängigkeit der von Ihnen gewählten Aktivierungsart kann ein geschäftlicher Bereich auf dem Gerät erstellt werden. Ein solcher Bereich ist ein getrennter Bereich des Geräts, der die Abtrennung und die Verwaltung verschiedener Arten von Daten, Apps und Netzwerkverbindungen ermöglicht. Die verschiedenen Bereiche können unterschiedlichen Regeln für Datenspeicherung, App-Berechtigungen und Netzwerkrouting unterliegen. Geräte mit einem geschäftlichen Bereich und einem persönlichen Bereich ermöglichen Ihrem Unternehmen eine strengere Kontrollen über geschäftliche Apps und Daten; zugleich behalten die Benutzer die Kontrolle über persönliche Daten und Apps. BES12 unterstützt mehrere Optionen für geschäftliche Bereiche: • BlackBerry Balance auf BlackBerry 10-Geräten • Secure Work Space auf iOS- und Android-Geräten • Android for Work auf Android-Geräten • Samsung KNOX Workspace auf Samsung-Geräten Weitere Informationen zum Schutz Ihrer Apps und Daten durch Android for Work finden Sie unter https://www.google.com/work/ android/. Weitere Informationen zum Schutz Ihrer Apps und Daten durch Samsung KNOX Workspace finden Sie unter https:// www.samsungknox.com/en/products/knox-workspace/technical. Geschäftlicher Bereich auf BlackBerry 10-Geräten Alle BlackBerry 10-Geräte, die mit BES12 aktiviert werden, haben einen geschäftlichen Bereich. Wenn Sie BlackBerry 10Geräte aktivieren, haben Sie die Wahl zwischen drei Aktivierungsarten für die Erstellung verschiedener Verwaltungsoptionen für den geschäftlichen Bereich: • Geschäftlich und persönlich – Unternehmen • Geschäftlich und persönlich – Reguliert • Nur geschäftlicher Bereich Sichern von BlackBerry Balance-Geräten Sie können BlackBerry 10-Geräte mithilfe des Aktivierungstyps "Geschäftlich und persönlich – Unternehmen“ aktivieren, um Benutzern BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen geschäftlichen Bereich, und Sie können lediglich den geschäftlichen Bereich steuern. Ihr Unternehmen kann die BlackBerry Balance-Technologie verwenden, sodass Benutzer ihre Geräte sowohl geschäftlich als auch privat nutzen können. Sie könnten Benutzern beispielsweise gestatten, private Geräte auf BES12 zu aktivieren oder Geräte zu verwenden, die Ihr Unternehmen für den persönlichen Gebrauch zur Verfügung stellt. 22 Verwalten der Gerätesicherheit mit BES12 BES12-Sicherheitsfunktionen und BlackBerry Balance können überprüfen, wie Geräte die Inhalte und Ressourcen (Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen, und ermöglichen, dass Geräte die geschäftlichen Daten und Apps anders als persönliche Daten und Apps behandeln. Diese Funktionen und Optionen haben folgende Vorteile: • Ihr Unternehmen kann den Zugriff auf geschäftliche Apps und Daten auf den Geräten überwachen. • Die Daten Ihres Unternehmens sind geschützt. • Benutzer können über einige Kernanwendungen geschlossen auf persönliche und geschäftliche Daten zugreifen. • Sie können Apps, die Ihr Unternehmen als geschäftliche Apps verfügbar machen will, verwalten und überwachen. • Sie können die Apps und Daten Ihres Unternehmens von persönlichen Geräten löschen, wenn Benutzer Ihr Unternehmen verlassen. • Sie können Netzwerkverbindungen für geschäftliche und persönliche Apps überwachen. Sichern von regulierten BlackBerry Balance-Geräten Sie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktivieren, um Benutzern regulierte BlackBerry Balance-Geräte zur Verfügung zu stellen. Die Geräte verfügen über einen persönlichen und einen geschäftlichen Bereich, und Sie können beide Bereiche kontrollieren. Ihr Unternehmen kann die BlackBerry BalanceTechnologie verwenden, damit Benutzer Geräte sowohl für den geschäftlichen als auch den persönlichen Bereich nutzen können und Ihrem Unternehmen trotzdem Kontrolle über Gerätefunktionen geben. BES12-Sicherheitsfunktionen und das regulierte BlackBerry Balance können steuern, wie Geräte die Inhalte und Ressourcen (Daten, Apps und Netzwerkverbindungen) Ihres Unternehmens schützen und Geräten erlauben, die Daten und Apps Ihres Unternehmens anders als persönliche Daten und Apps zu behandeln. Regulierte BlackBerry Balance-Geräte behandeln geschäftliche und persönliche Daten genauso wie BlackBerry BalanceGeräte. Alles, was Sie zur Verwaltung von BlackBerry Balance-Geräten tun können, einschließlich der Verwendung von ITRichtlinienregeln, ist auch mit regulierten BlackBerry Balance-Geräten möglich. Regulierte BlackBerry Balance-Geräte bieten Ihnen jedoch zusätzliche Verwaltungsoptionen, einschließlich: • Gerätefunktionen deaktivieren, auch wenn sich Benutzer im persönlichen Bereich aufhalten • Verhindern, dass Benutzer persönliche Konten auf dem Gerät haben • Kommunikationswege für Telefonanrufe, SMS und BBM blockieren • Kommunikationswege wie z. B. Wi-Fi ,Bluetooth und NFC blockieren • Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden Benutzer mit regulierten BlackBerry Balance-Geräten sollten sich bewusst sein, dass Ihr Unternehmen persönliche Daten auf ihren Geräten überprüfen kann. Wenn ein Gerät mithilfe der Aktivierungsart "Geschäftlich und persönlich – Reguliert" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät von Ihrem Unternehmen verwaltet wird und der Benutzer den Haftungsausschluss akzeptieren muss, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für regulierte BlackBerry Balance-Geräte, auf denen BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Organisationshinweis jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll. 23 Verwalten der Gerätesicherheit mit BES12 Sichern von Geräten, die nur über einen geschäftlichen Bereich verfügen Sie können BlackBerry 10-Geräte mithilfe der Aktivierungsart "Nur geschäftlicher Bereich" aktivieren, um Benutzern Geräte, die nur über einen geschäftlichen Bereich verfügen, zur Verfügung zu stellen. Diese Geräte verfügen nur über einen Bereich, der als geschäftlicher Bereich gilt und sicher ist. Alle Daten und Apps auf diesen Geräten werden als geschäftliche Ressourcen klassifiziert. Sie können Geräte, die nur über einen geschäftlichen Bereich verfügen, aktivieren, wenn Benutzer Geräte fast ausschließlich für geschäftliche Zwecke verwenden werden, oder wenn in Ihrem Unternehmen besonders vertrauliche Positionen besetzt sind, die die vollständige Verwaltung von Geräten erfordern. Durch diese Aktivierungsoption haben Sie die vollständige Kontrolle über Geräte und können: • Alle Apps und Dienste auf Geräten zulassen • Steuerung von Gerätemerkmalen, wie z. B. Kamera oder GPS • Blockieren von Kommunikationspfaden, wie Wi-Fi oder Bluetooth • Steuern, welche Apps die Benutzer herunterladen können • Verhindern des Zugriffs auf persönliche E-Mail-Nachrichtendienste • Erweiterten Schutz für Daten im Ruhezustand für Daten des geschäftlichen Bereichs verwenden Der Kennwortschutz auf Geräten, die nur über einen persönlichen Bereich verfügen, ist nicht optional. Um Geschäftsdaten auf diesen Geräten zu sichern, müssen Benutzer bei der Aktivierung ein Gerätekennwort festlegen. Benutzer mit Geräten, die nur über einen geschäftlichen Bereich verfügen, sollten sich bewusst sein, dass Ihr Unternehmen alle Daten auf ihren Geräten überprüfen kann, auch wenn sie ihre Geräte für persönliche Zwecke nutzen. Wenn ein Gerät mithilfe der Aktivierungsart "Nur geschäftlicher Bereich" aktiviert wird, wird dem Benutzer ein allgemeiner Haftungsausschluss angezeigt, der angibt, dass das Gerät vollständig von Ihrem Unternehmen verwaltet wird, und der Benutzer muss den Haftungsausschluss akzeptieren, um mit der Aktivierung fortzufahren. Sie können einen zusätzlichen Hinweis konfigurieren, der die Geschäftsbedingungen darlegt, denen Benutzer folgen müssen, um die Sicherheitsanforderungen Ihres Unternehmens zu erfüllen. Für Geräte, die nur über einen geschäftlichen Bereich verfügen, auf denen BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird, können Sie in der IT-Richtlinie festlegen, ob ein Gerät den Unternehmenshinweis jedes Mal, wenn ein Benutzer das Gerät neu startet, anzeigen soll. Wenn ein Gerät über einen persönlichen oder geschäftlichen Bereich verfügt, bevor Sie es aktivieren, wird dieser während des Aktivierungsprozesses gelöscht und alle Daten, Apps oder Netzwerkverbindungen, die das Gerät vor der Aktivierung genutzt hat, werden entfernt. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Wie Apps und Daten auf BlackBerry Balance-Geräten klassifiziert werden BlackBerry Balance-Geräte und regulierte BlackBerry Balance-Geräte können zwischen Daten für den geschäftlichen Gebrauch und Daten für den Privatgebrauch unterscheiden. Die Geräte klassifizieren Daten abhängig von der Datenquelle in geschäftliche und persönliche Daten, und diese Klassifizierungen bestimmen, wie die Daten auf den Geräten gespeichert, geschützt und verarbeitet werden. Geschäftliche Daten sind alle Daten, die von Apps im geschäftlichen Bereich verwaltet werden, und persönliche Daten sind alle Daten, die von Apps im persönlichen Bereich verwaltet werden. Zum Beispiel werden Daten aus einem geschäftlichen Konto im geschäftlichen Bereich auf dem Gerät gespeichert, und Daten aus einem persönlichen Konto werden im persönlichen Bereich auf dem Gerät gespeichert. Nachdem Daten von einem Gerät als 24 Verwalten der Gerätesicherheit mit BES12 geschäftliche Daten oder persönliche Daten klassifiziert wurden, können persönliche Daten nicht zu geschäftlichen Daten umklassifiziert werden und geschäftliche Daten nicht zu persönlichen Daten umklassifiziert werden. Alle Daten und Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden als geschäftliche Ressourcen klassifiziert, auch wenn Benutzer die Geräte für persönliche Angelegenheiten nutzen, wie dem Besuch persönlicher Webseiten oder dem Empfang persönlicher E-Mails. Die folgende Tabelle beschreibt die einzelnen App-Klassifizierungen für Geräte mit einem persönlichen Bereich und führt Beispiele für Apps an, die zu der jeweiligen App-Klassifizierung gehören: Beschreibung Apps Apps, die nur im geschäftlichen Bereich verfügbar sind und nur geschäftliche Daten anzeigen • BlackBerry World for Work • Beliebige Apps, die Benutzer aus BlackBerry World for Work herunterladen Apps, die nur im persönlichen Bereich verfügbar sind und nur • persönliche Daten anzeigen BBM, BBM Video, SMS-Textnachrichten und visuelle Sprachnachrichten (mit Zugriff auf geschäftliche Kontakte, falls nicht durch die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" verhindert) Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen verfügbar sind, und die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen Diese Apps klassifizieren die Daten, die sie nutzen, abhängig von der Datenquelle entweder als geschäftliche oder persönliche Daten und verwalten jeden Datentyp innerhalb des Bereichs, zu dem er gehört. • BlackBerry World • Benutzer-Apps für Instant Messaging • Beliebige Apps, die Benutzer aus BlackBerry World herunterladen (einschließlich BlackBerry Runtime für Android-Apps) • BlackBerry Remember • BlackBerry Hub • Kalendar • Kontakte Diese Apps verwalten geschäftliche Daten innerhalb der Beschränkungen des geschäftlichen Dateisystems, der geschäftlichen Richtlinien, Berechtigungen und Regelungen, um sicherzustellen, dass die Daten innerhalb des geschäftlichen Bereichs sicher sind und die Daten nicht für Benutzer verfügbar sind, wenn der geschäftliche Bereich gesperrt ist. Diese Apps werden streng kontrolliert und sind auf Kernanwendungen begrenzt, die ausschließlich von BlackBerry entwickelt werden. 25 Verwalten der Gerätesicherheit mit BES12 Beschreibung Apps Apps, die eine Instanz im geschäftlichen Bereich und eine separate Instanz im persönlichen Bereich haben • Adobe Reader • Browser Diese App-Instanzen laufen sowohl in den geschäftlichen als auch den persönlichen Bereichen eines Geräts unabhängig voneinander. Zum Beispiel kann die Documents To Go-App, die sich im geschäftlichen Bereich befindet, nur Dateien verwalten, die sich im geschäftlichen Bereich befinden, und das BlackBerry 10 OS sorgt dafür, dass diese App nicht mit Dateien, die sich im persönlichen Bereich befinden, interagiert. • Documents To Go • Dateiverwaltung • Hilfe • Bilder Jede Instanz dieser Apps wird von den anderen getrennt gehalten, und jede App arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert ist. Zum Beispiel zeigt die Dateiverwaltung-App nur geschäftliche Apps an, wenn ein Benutzer die App im geschäftlichen Bereich öffnet, und nur persönliche Dateien, wenn der Benutzer die App im persönlichen Bereich öffnet. Regeln des Zugriffs auf Inhalte BlackBerry Balance- und regulierte BlackBerry Balance-Geräte regeln wie folgt, was Benutzer mit geschäftlichen und persönlichen Inhalten tun können: • Die Geräte lassen nicht zu, dass Benutzer Dateien aus dem persönlichen Bereich in den geschäftlichen Bereich verschieben oder aus dem geschäftlichen Bereich in den persönlichen Bereich verschieben. • Die Geräte lassen nicht zu, dass Benutzer Text aus dem geschäftlichen Bereich ausschneiden, kopieren oder in Apps des persönlichen Bereichs einfügen. Die Geräte lassen zu, dass Benutzer Text aus Apps des persönlichen Bereichs in Apps des geschäftlichen Bereichs einfügen. Die Geräte speichern Daten, die Benutzer aus Apps des geschäftlichen Bereichs kopieren, nur im geschäftlichen Bereich, und Daten, die Benutzer aus Apps des persönlichen Bereichs kopieren, nur im persönlichen Bereich. • Apps, die sowohl in geschäftlichen als auch in persönlichen Bereichen einheitlich angezeigt werden, können persönliche Dateien an die geschäftliche Anlage der App anhängen. Zum Beispiel können Benutzer persönliche Dateien an geschäftliche E-Mail-Nachrichten anhängen. Die Geräte verwenden schreibgeschützte Versionen dieser Dateien und übertragen oder kopieren diese Dateien nicht aus dem persönlichen Dateisystem in das geschäftliche Dateisystem. Standardmäßig können geschäftliche Apps auf freigegebene Dateien im persönlichen Bereich zugreifen, insofern der Benutzer dies erlaubt. Wenn ein Benutzer eine geschäftliche App installiert, zeigt das Gerät eine Meldung mit den Optionen an, die Anfrage der App für den Zugriff auf freigegebene Dateien oder Inhalte entweder zuzulassen oder abzulehnen. Wenn Sie verhindern möchten, dass geschäftliche Apps auf freigegebene persönliche Dateien zugreifen, stellen Sie sicher, dass die ITRichtlinienregel "Zulassen, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte in den persönlichen Bereichen 26 Verwalten der Gerätesicherheit mit BES12 zugreifen" nicht ausgewählt ist. Dadurch wird verhindert, dass geschäftliche Apps auf freigegebene Dateien oder Inhalte im persönlichen Bereich zugreifen, unabhängig von den Benutzereinstellungen des Geräts. Dadurch wird ebenfalls verhindert, dass Benutzer persönliche Dateien an Nachrichten anhängen, die sie von einem geschäftlichen Konto senden, und dass persönliche Dateien oder Inhalte mit geschäftlichen Apps unter Verwendung der Option "Teilen" geteilt werden. Standardmäßig können alle Apps im persönlichen Bereich auf die erforderlichen Daten für geschäftliche Kontakte zugreifen. Benutzer können außerdem die Optionen "Kopieren nach" und "Speichern in" für geschäftliche Kontakte in der Kontakte-App verwenden. Sie können die Einstellungen der IT-Richtlinienregeln ändern, um Folgendes zu bewirken: • Verhindern, dass alle persönlichen Anwendungen jederzeit auf Daten für geschäftliche Kontakte zugreifen können, indem Sie die IT-Richtlinienregel "Persönliche Apps können auf geschäftliche Kontakte zugreifen" auf "Keine" einstellen. • Um nur den folgenden von BlackBerry entwickelten persönlichen Apps zu erlauben, auf Daten für Geschäftskontakte zuzugreifen. Setzen Sie dazu die IT-Richtlinienregel "Persönlichen Apps Zugriff auf Geschäftskontakte gewähren" auf "Nur BlackBerry-Apps": Telefon, BBM (einschließlich BBM Video und BBM Voice), Textnachrichten, Smart Tags und visuelle Mailbox. • So verhindern Sie, dass Benutzer während eines BBM Video-Chat den Bildschirminhalt mit anderen BBM Video-ChatTeilnehmern teilen. Wenn Sie Benutzern das Teilen des Bildschirminhalts im geschäftlichen Bereich im BBM VideoChat nicht erlauben, sperrt ein Gerät den geschäftlichen Bereich, wenn ein Benutzer den Bildschirm während eines BBM Video-Chats freigibt. Der Benutzer kann den geschäftlichen Bereich erst dann entsperren, wenn der Vorgang der Bildschirmfreigabe des BBM Video-Chats vollständig beendet wurde. Secure Work Space für iOS- und Android-Geräte Secure Work Space erstellt einen geschäftlichen Bereich auf iOS- und Android-Geräten, wenn ein Gerät in BES12 aktiviert wird. Der geschäftliche Bereich ist ein getrennter Bereich des Geräts für geschäftliche Ressourcen, wo Benutzer Dokumente erstellen, bearbeiten und speichern können. Der geschäftliche Bereich speichert auch Konfigurationsangaben vom Server und damit verbundene Informationen, zum Beispiel Microsoft Active Directory-Anmeldeinformationen und -Profile. 27 Verwalten der Gerätesicherheit mit BES12 Die Sicherheitsfunktionen von BES12 und Secure Work Space steuern, wie Geräte die Daten Ihres Unternehmens, Apps und Netzwerkverbindungen schützen, und erzwingen, dass Daten und Apps Ihres Unternehmens auf Geräten anders als persönliche Daten und Apps behandelt werden. Das heißt, Sie können Folgendes durchführen: • Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden. • Steuern des Zugriffs auf die Daten und Apps Ihres Unternehmens auf Geräten • Verhindern, dass die Sicherheit von Daten beeinträchtigt wird • Installieren und Verwalten der Daten und Apps Ihres Unternehmens auf Geräten • Bei Bedarf Löschen der Daten Ihres Unternehmens von Geräten • Steuern von Netzwerkverbindungen, die von geschäftlichen und persönlichen Apps verwendet werden • Ermöglichen Sie es Ihrem Unternehmen, Informationen zu kontrollieren, auch wenn diese auf Geräten gespeichert sind, die Eigentum von Mitarbeitern sind und von ihnen zur Arbeit mitgebracht werden. Verwandte Informationen Sicherheitsfunktionen für Geräte mit Secure Work Space, auf Seite 17 Erstellen von geschäftlichen Bereichen auf Geräten mit Secure Work Space Zum Erstellen eines geschäftlichen Bereichs auf einem Gerät mit Secure Work Space aktivieren Sie das Gerät in BES12 entweder über die Aktivierungsart "Geschäftlich und persönlich – volle Kontrolle (Secure Work Space)" oder "Geschäftlich und persönlich – Privatsphäre des Benutzers (Secure Work Space)". Während des Aktivierungsvorgangs verschlüsselt das Gerät den geschäftlichen Bereich. Geräte mit Secure Work Space machen es während des Aktivierungsprozesses erforderlich, dass die Benutzer ein Kennwort für den geschäftlichen Bereich festlegen. Das Kennwort für den geschäftlichen Bereich dient dem Schutz von Daten des geschäftlichen Bereichs und gesicherter Apps. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen wie Komplexität und Länge verwenden. Nachdem ein Gerät in BES12 aktiviert wurde, sind auf dem Gerät weiterhin ein persönlicher Bereich sowie alle Daten, Apps oder Netzwerkverbindungen des Benutzers vorhanden, die der Benutzer verwendet hat, bevor das Gerät aktiviert wurde. Benutzer können ihre Geräte für Zwecke verwenden, welche die Sicherheitsrichtlinien des Unternehmens ansonsten nicht erlauben, zum Beispiel das Herunterladen von Videos, das Spielen von Multiplayer-Spielen im Internet oder das Hochladen von privaten Fotos und Facebook-Einträgen, ohne die auf dem Gerät gespeicherten geschäftlichen Daten sichtbar zu machen. Schutz der Daten durch Verschlüsselung BES12 hilft beim Schutz von Daten auf Geräten durch Verschlüsselung. BlackBerry 10-Geräte verschlüsseln die Dateien, die im geschäftlichen Bereich gespeichert sind. Sie können ITRichtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den Geräten, einschließlich aller Daten im persönlichen Bereich und auf Medienkarten, zu erzwingen. 28 Verwalten der Gerätesicherheit mit BES12 Secure Work Space verschlüsselt alle Daten im geschäftlichen Bereich. Android-Geräte mit Secure Work Space verschlüsseln auch alle Daten des geschäftlichen Bereichs auf der Medienkarte. In Abhängigkeit von der Aktivierungsart können Sie IT-Richtlinienregeln benutzen, um das Verschlüsseln aller Daten auf den Android-Geräten, einschließlich aller Daten im persönlichen Bereich und auf Medienkarten, zu erzwingen. Weitere Informationen zur Datenverschlüsselung für Android for Work finden Sie unter https://support.google.com/work/ android. Weitere Informationen zur Datenverschlüsselung für Samsung KNOX Workspace finden Sie unter https:// www.samsungknox.com/en/products/knox-workspace/technical. Weitere Informationen zur Datenverschlüsselung für iOS finden Sie unter https://www.apple.com/business/docs/ iOS_Security_Guide.pdf. Verschlüsseln von Daten auf BlackBerry 10-Geräten BlackBerry 10-Geräte schützen durch Verschlüsselung die folgenden Datentypen. Nur die Inhalte von Dateien werden verschlüsselt; die Dateien selbst und die Verzeichnisnamen werden nicht verschlüsselt. Datentyp Beschreibung Daten im geschäftlichen Bereich Geräte schützen Geschäftsdaten durch die Verschlüsselung der im geschäftlichen Bereich gespeicherten Dateien. Die Verschlüsselung des geschäftlichen Bereichs ist nicht optional. Daten im persönlichen Bereich Geräte mit einem persönlichen Bereich können persönliche Daten durch die Verschlüsselung der im persönlichen Bereich gespeicherten Dateien schützen. Die Verschlüsselung des persönlichen Bereichs ist optional. Sie können die ITRichtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" verwenden, um die Verschlüsselung für den persönlichen Bereich auf einem Gerät zu aktivieren. Benutzer können die Verschlüsselung persönlicher Daten auch mittels der Option "Geräteverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem Gerät aktivieren. Medienkartendaten Geräte können Medienkartendaten durch die Verschlüsselung der auf Medienkarten gespeicherten Dateien schützen: • Standardmäßig erlauben es Geräte mit einem persönlichen Bereich Benutzern nur persönliche Daten auf Medienkarten zu speichern, und diese Daten werden in einem unverschlüsselten Format gespeichert. • Standardmäßig erlauben es Geräte, die nur über einen geschäftlichen Bereich verfügen, Benutzern, Daten auf Medienkarten zu speichern, und diese Daten werden in einem unverschlüsselten Format gespeichert. 29 Verwalten der Gerätesicherheit mit BES12 Datentyp Beschreibung Die Medienkartenverschlüsselung ist optional. Sie können die IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" verwenden, um die Medienkartenverschlüsselung zu aktivieren. Es wird dringend empfohlen, auf Geräten, die nur über einen geschäftlichen Bereich verfügen, die Medienkartenverschlüsselung mithilfe der IT-Richtlinienregel "Medienkartenverschlüsselung erzwingen" zu aktivieren, da Benutzer Geschäftsdaten standardmäßig in unverschlüsseltem Format speichern können. Benutzer können die Medienkartenverschlüsselung auch mittels der Option "Medienkartenverschlüsselung" in den "Sicherheit und Datenschutz"-Einstellungen auf einem Gerät aktivieren. Die Medienkarte wird deaktiviert, wenn ein anderes Gerät die Daten auf ihr verschlüsselt hat. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, ist die Medienkartenverschlüsselung nur erlaubt, wenn die IT-Richtlinienregel "Medienkarte zulassen" ausgewählt ist. Wie BlackBerry 10-Geräte geschäftliche Daten schützen Bei der Verschlüsselung des geschäftlichen Bereichs für BlackBerry 10-Geräte werden Daten, die im geschäftlichen Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Bei Geräten, die nur über einen geschäftlichen Bereich verfügen, werden alle Daten unter Verwendung von XTS-AES-256 verschlüsselt. Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt: • Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem geschäftlichen Domänenschlüssel und speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei. • Der geschäftliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems gespeichert und unter Verwendung des geschäftlichen Hauptschlüssels verschlüsselt wird. • Der geschäftliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der geschäftliche Hauptschlüssel wird im NVRAM auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt. • Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf dem Gerät gespeichert. • Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors in den Prozessor integriert wird. Die Dateiverschlüsselungsschlüssel, der geschäftliche Domänenschlüssel, der geschäftliche Hauptschlüssel und der Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS 140-2-Zertifizierung erhalten hat. 30 Verwalten der Gerätesicherheit mit BES12 Wie BlackBerry 10-Geräte persönliche Daten schützen Bei der Verschlüsselung des persönlichen Bereichs für BlackBerry 10-Geräte werden Dateien, die im persönlichen Dateisystem gespeichert sind, unter Verwendung von XTS-AES-256 verschlüsselt. Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte einer Datei zu verschlüsseln. Die Dateiverschlüsselungsschlüssel werden von einem hierarchischen Verschlüsselungsschlüssel-System wie folgt geschützt: • Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem persönlichen Domänenschlüssel und speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei. • Der persönliche Domänenschlüssel ist ein zufällig erstellter Schlüssel, der in den Metadaten des Dateisystems gespeichert und unter Verwendung des persönlichen Hauptschlüssels verschlüsselt wird. • Der persönliche Hauptschlüssel wird ebenfalls zufällig erstellt. Der persönliche Hauptschlüssel wird im NVRAM auf dem Gerät gespeichert und mit dem Systemhauptschlüssel verschlüsselt. • Der Systemhauptschlüssel wird im Replay-geschützten Speicherblock (RPMB, Replay Protected Memory Block) auf dem Gerät gespeichert. • Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors in den Prozessor integriert wird. Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" ausgewählt wird, wählen Sie auch die IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern", sodass das Kennwort für den geschäftlichen Bereich für das gesamte Gerät gilt. Wenn die IT-Richtlinienregel "Verschlüsselung der Daten im persönlichen Bereich erzwingen" nicht ausgewählt wird und der Benutzer die Verschlüsselung für den persönlichen Bereich aktivieren möchte, wird der Benutzer aufgefordert, ein neues Kennwort einzugeben, insofern das Gerät nicht bereits ein Kennwort hat. Die Geräte können ebenfalls alle Dateien verschlüsseln, die auf in den Geräten steckenden Medienkarten gespeichert sind. Benutzer können ausschließlich persönliche Daten auf den Medienkarten speichern. Die Dateiverschlüsselungsschlüssel, der persönliche Domänenschlüssel, der persönliche Hauptschlüssel und der Systemhauptschlüssel werden mithilfe von BlackBerry OS Cryptographic Kernel erstellt, der für das BlackBerry 10 OS die FIPS 140-2-Zertifizierung erhalten hat. Wie Daten auf Medienkarten von BlackBerry 10-Geräten geschützt werden Die Medienkartenverschlüsselung verschlüsselt auf Medienkarten in BlackBerry 10-Geräten gespeicherte Dateien. Ein Gerät erzeugt per Zufallsprinzip einen Verschlüsselungsschlüssel, um die Inhalte von Dateien auf der Medienkarte zu verschlüsseln. Der Schlüssel für die Verschlüsselung wird wie folgt geschützt: • Das Gerät verknüpft die persönliche Domäne mit einem nach dem Zufallsprinzip generierten Schlüssel und erzeugt einen Hashwert zum Erstellen eines Schlüssels für die Medienkarte. Wenn das Gerät nur über einen geschäftlichen Bereich verfügt oder wenn die Verschlüsselung für den persönlichen Bereich nicht eingeschaltet wurde, generiert das Gerät zunächst einen Domänenschlüssel für den persönlichen Bereich. • Das Gerät verschlüsselt den Dateiverschlüsselungsschlüssel mit dem Schlüssel der Medienkarte und speichert den Verschlüsselungsschlüssel der verschlüsselten Datei als Metadatenattribut der Datei. 31 Verwalten der Gerätesicherheit mit BES12 • Ein Hashwert des Medienkartenschlüssels wird auf dem Gerät im Replay-geschützten Speicherblock gespeichert, damit der Medienkartenschlüssel überprüft werden kann. • Der Replay-geschützte Speicherblock wird mit einem Schlüssel verschlüsselt, der bei der Herstellung des Prozessors in den Prozessor integriert wird. Auf BlackBerry Balance-Geräten können nur persönliche Daten auf Medienkarten gespeichert werden. Die Medienkartenverschlüsselung ist optional. Sie können die Medienkartenverschlüsselung in der IT-Richtlinie erzwingen. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, wird die Einrichtung der Medienkartenverschlüsselung dringend empfohlen, da Benutzer geschäftliche Daten auf Medienkarten speichern können. Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie den Einsatz von Medienkarten auch in der ITRichtlinie verbieten. Benutzer können die Medienkartenverschlüsselung auch in den Geräteeinstellungen einschalten. Der Verschlüsselungsschlüssel der Medienkartenverschlüsselung wird vom kryptografischen Kernel des BlackBerryOS generiert, welcher in BlackBerry 10 OS nach FIPS 140-2 zertifiziert ist. Erweiterter Schutz von Daten im Ruhezustand auf BlackBerry 10-Geräten Erweiterter Schutz von Daten im Ruhezustand ist ein Verschlüsselungsmodell für Daten im Ruhezustand, das Sie verwenden können, um Daten im geschäftlichen Bereich auf gesperrten regulierten BlackBerry Balance-Geräten und Geräten, auf denen BlackBerry 10 OS Version 10.3.1 und höher ausgeführt wird und die nur über einen geschäftlichen Bereich verfügen, zu schützen. Es hilft bei der Sicherung vertraulicher Daten durch die Beschränkung des Zugriffs auf bestimmte Dateien im geschäftlichen Bereich des Geräts, wenn der geschäftliche Bereich gesperrt ist. Wenn der geschäftliche Bereich gesperrt ist, können nur Apps, die speziell dafür entwickelt wurden, erweiterten Schutz von Daten im Ruhezustand zu unterstützen, weiter im geschäftlichen Bereich ausgeführt werden, und sie sind darauf beschränkt, nur auf bestimmte Teile des Dateisystems des geschäftlichen Bereichs zuzugreifen. Zusätzlich zur Einschränkung des Zugriffs auf vertrauliche Daten bei gesperrtem geschäftlichen Bereich verschlüsselt der erweiterte Schutz von Daten im Ruhezustand auch Daten, die das Gerät empfängt, wenn der geschäftliche Bereich gesperrt ist. Sowohl die Daten, die im geschäftlichen Bereich auf Geräten gespeichert sind, als auch Geschäftsdaten, die gesperrte Geräte empfangen, werden verschlüsselt. Die Domänenschlüssel für die Verschlüsselung von Dateien des geschäftlichen Bereichs werden ebenfalls verschlüsselt. Die Dateien werden mithilfe von Schlüsseln verschlüsselt, die an Informationen gebunden sind, die nicht auf dem Gerät gespeichert sind, wie z. B. das Kennwort für den geschäftlichen Bereich oder die Smartcard eines Benutzers. Erweiterter Schutz von Daten im Ruhezustand stellt verschiedene Domänen für die Speicherung der folgenden Datenklassifizierungen bereit: Domänenname Beschreibung Gesperrt Diese Domäne speichert vertrauliche Daten. Die Daten in dieser Domäne sind verschlüsselt und können nur aufgerufen werden, während der geschäftliche Bereich nicht gesperrt ist. Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den geschäftlichen Bereich entsperrt hat. Betriebsbereit Diese Domäne speichert vertrauliche Daten, die verfügbar sein müssen, wenn der geschäftliche Bereich gesperrt oder nicht gesperrt ist. Wenn das Gerät zum ersten Mal 32 Verwalten der Gerätesicherheit mit BES12 Domänenname Beschreibung gestartet wurde oder neu gestartet wurde, sind die Daten nicht verfügbar, bis der Benutzer den geschäftlichen Bereich entsperrt. Die Daten sind dann verfügbar, bis das Gerät ausgeschaltet oder neu gestartet wird. Der Domänenschlüssel kann nur entschlüsselt werden, nachdem der Benutzer den geschäftlichen Bereich zum ersten Mal nach dem Start des Geräts entsperrt hat. Start Diese Domäne speichert Daten, die verschlüsselt werden müssen, aber während des Starts verfügbar sein müssen, ohne dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss. Alle Daten, die für den Gerätestart erforderlich sind oder verfügbar sein müssen, bevor der Benutzer den geschäftlichen Bereich entsperrt, müssen in dieser Domäne gespeichert werden. Der Domänenschlüssel kann abgerufen und entschlüsselt werden, ohne dass der Benutzer den geschäftlichen Bereich zuerst entsperren muss. Wenn die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" auf einen Wert größer als 0 gesetzt wird, kann auf die Daten in der Sperrdomäne normal zugegriffen werden, bis der erweiterte Schutz von Daten im Ruhezustand ausgeschaltet wird. Sie können den erweiterten Schutz von Daten im Ruhezustand auf regulierten BlackBerry Balance-Geräten und auf Geräten, die nur über einen geschäftlichen Bereich verfügen, verwenden. Auf regulierten BlackBerry Balance-Geräten beeinträchtigt der erweiterte Schutz von Daten im Ruhezustand persönliche Apps nicht. Sie werden weiterhin ausgeführt und können normal auf das persönliche Dateisystem des Geräts zugreifen. Erweiterten Schutz von Daten im Ruhezustand verwalten Sie können die IT-Richtlinienregel "erweiterten Schutz von Daten im Ruhezustand erzwingen" verwenden, um den erweiterten Schutz von Daten im Ruhezustand auf Geräten zu aktivieren. Benutzer können den erweiterten Schutz von Daten im Ruhezustand auf ihren Geräten nicht aktivieren bzw. deaktivieren. Möglicherweise möchten Sie nicht, dass der erweiterte Schutz von Daten im Ruhezustand aktiviert wird, sobald der geschäftliche Bereich gesperrt wird, und Sie würden bevorzugen, dass es zwischen der Sperrung des geschäftlichen Bereichs und der Aktivierung des erweiterten Schutzes von Daten im Ruhezustand eine Verzögerung gibt. Wenn dies der Fall ist, können Sie die IT-Richtlinienregel "Zeitüberschreitung des erweiterten Schutzes von Daten im Ruhezustand" verwenden, um eine Verzögerung von bis zu 24 Stunden einzurichten. Wenn der erweiterte Schutz von Daten im Ruhezustand nicht aktiviert ist, kann auf die Daten in der Sperrdomäne normal zugegriffen werden. Sie können verlangen, dass die Zwei-Faktor-Authentifizierung verwendet wird, um die Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand zu schützen, indem Sie die IT-Richtlinienregel "Zwei-Faktor-Authentifizierung für den erweiterten Schutz von Daten im Ruhezustand" verwenden. Die Zwei-Faktor-Authentifizierung schützt die Verschlüsselungsschlüssel für den erweiterten Schutz von Daten im Ruhezustand sowohl mit einem privaten Schlüssel, der auf einer Smart Card gespeichert ist, als auch mit dem Kennwort des geschäftlichen Bereichs. Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. 33 Verwalten der Gerätesicherheit mit BES12 Sie können auswählen, wo Wi-Fi- und VPN-Profile im geschäftlichen Bereich auf Geräten, die den erweiterten Schutz von Daten im Ruhezustand verwenden, gespeichert werden. Unter Verwendung der Profileinstellung "Datensicherheitsebene" in Wi-Fiund VPN-Profilen können Sie festlegen, ob Wi-Fi- und VPN-Profile "immer verfügbar", "nach Authentifizierung verfügbar" oder "nur verfügbar, wenn der geschäftliche Bereich entsperrt wird" sein sollen. Wenn Sie festlegen, dass die Profile immer verfügbar sind, wird das Profil in der Startdomäne gespeichert und steht zur Verfügung, wenn der geschäftliche Bereich gesperrt ist. Wenn Sie festlegen, dass das Profil "nach Authentifizierung verfügbar" ist, wird das Profil in der Betriebsdomäne gespeichert und ist nach dem Entsperren des geschäftlichen Bereichs so lange verfügbar, bis das Gerät erneut gestartet wird. Wenn Sie festlegen, dass das Profil "Nur verfügbar, wenn der geschäftliche Bereich entsperrt ist", wird das Profil in der Sperrdomäne gespeichert und kann nur dann für Wi-Fi- oder VPN-Verbindungen verwendet werden, wenn der geschäftliche Bereich entsperrt ist. Weitere Informationen über diese Profileinstellungen finden Sie in der Dokumentation für Administratoren. Verschlüsseln von Daten in Secure Work Space Im geschäftlichen Bereich werden die von gesicherten Apps gespeicherten Daten mithilfe von AES-256-Verschlüsselung verschlüsselt. Der geschäftliche Bereich erzeugt zufällig einen separaten Verschlüsselungsschlüssel für jede gesicherte App und verschlüsselt die Schlüssel mit dem Kennwort des Benutzers für den geschäftlichen Bereich. Im geschäftlichen Bereich werden alle von einer gesicherten App gespeicherten Daten direkt verschlüsselt und der Schreibvorgang in Dateien erfolgt indirekt. Die Verschlüsselungsbibliotheken (OpenSSL-FIIPTS oder iOS-Crypto unter iOS und OpenSSL-FIPS unter Android OS) sind Komponenten der FIPS-zertifizierten kryptografischen Bibliothek von BlackBerry für Secure Work Space. Gesicherte Apps können Daten nur für andere gesicherte Apps freigeben. Wenn eine gesicherte App anfordert, Daten für eine andere App freizugeben, fängt der geschäftliche Bereich die Anforderung ab und lässt zu, dass die App fortfährt, wenn beide Apps gesichert sind. Wenn keine der beiden Apps gesichert sind, lehnt der geschäftliche Bereich die Anforderung ab. Der geschäftliche Bereich erlaubt es einem Benutzer, Daten von einer gesicherten App in eine andere gesicherte App zu kopieren und einzufügen, jedoch nicht in eine geschäftliche oder persönliche App. Bei der Verwendung des geschäftlichen Browsers werden keine Internet- oder Intranetkennwörter gespeichert. Der CookieSpeicher wird genau wie andere Daten des geschäftlichen Bereichs durch das sichere Dateisystem geschützt. Secure Work Space-Verschlüsselung 34 Verwalten der Gerätesicherheit mit BES12 Für Android-Geräte weist das Android OS eine UID zu einer App zu, wenn die App installiert wird. Die UID ist für jede App eindeutig, es sei denn, die App fordert die Freigabe einer UID für eine andere App an. Die zwei Apps müssen in diesem Fall mit dem gleichen Zertifikat des gleichen Entwicklers signiert sein. Jeder UID wird ein zufälliger Verschlüsselungsschlüssel zugewiesen, wenn die UID das erste Mal ausgeführt wird und die UID den Schlüssel für die Datenverschlüsselung verwendet. Diese Schlüssel werden in einem getrennten sicheren Dateisystem im geschäftlichen Bereich gespeichert, und das Dateisystem ist zwischen gesicherten Apps freigegeben. Wenn die App mit der UID zum ersten Mal ausgeführt wird, fordert sie von der Work Space Manager-App den Verschlüsselungsschlüssel an, der mit der UID verknüpft ist. Das gesamte sichere Dateisystem, mit Ausnahme des ersten Blocks, wird mithilfe von AES-256 im CBCModus mit 128-Bit-Blöcken verschlüsselt. Der Schlüssel zum Dateisystem wird im ersten Block gespeichert. Anschließend wird der erste Block mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt. Bei iOS-Geräten weist Secure Work Space jeder gesicherten App einen zufälligen Verschlüsselungsschlüssel zu, wenn die App zum ersten Mal ausgeführt wird. Die App verwendet den Schlüssel, um die Daten zu verschlüsseln. Diese Schlüssel werden in einem vollständig segmentierten virtuellen und sicheren Dateisystem gespeichert, das von den Apps gemeinsam benutzt wird. Die zugrunde liegende Blockstruktur des sicheren Dateisystems ist proprietär. Das virtuelle Dateisystem ist über einem NANDähnlichen Block mit einer virtuellen Geräteschnittstelle gelagert. Sowohl auf Android- als auch auf iOS-Geräten ist das gesamte virtuelle Dateisystem, außer der erste Block, mithilfe von AES-256 im CBC-Modus mit 128-Bitblöcken verschlüsselt. Der Schlüssel zum virtuellen Dateisystem wird im ersten Block gespeichert. Der erste Block wird anschließend mit einem aus dem Kennwort des geschäftlichen Bereichs abgeleiteten Schlüssel verschlüsselt. Das Kennwort des geschäftlichen Bereichs wird unter Verwendung von PBKDF2 als Schlüsselableitungsfunktion mit HMAC-SHA1 abgeleitet. Speichern von Secure Work Space-Daten auf Medienkarten Bei Android-Geräten sind auf Medienkarten gespeicherte Daten im geschäftlichen Bereich Teil des sicheren Dateisystems, genau wie Daten im geschäftlichen Bereich, die auf dem Gerät selbst gespeichert werden. Die Daten auf der Medienkarte können nur entschlüsselt werden, wenn die Karte an das ursprüngliche Gerät angeschlossen wird und der Benutzer das Kennwort für den geschäftlichen Bereich eingegeben hat. Auf die Daten auf der Medienkarte kann nicht auf kryptografische Weise zugegriffen werden, wenn die Karte in ein anderes Gerät eingeführt wird, da die Verschlüsselungsschlüssel nicht verfügbar sind. Verwalten von Apps auf Geräten Sie können BES12 verwenden, um Apps, die Ihr Unternehmen auf Geräten verfügbar machen will, zu verwalten und zu überwachen. Sie können die auf Geräten erforderlichen Apps und Maßnahmen in den Kompatibilitätsprofilen festlegen, die ausgeführt werden, wenn der Benutzer die Anwendung nicht installiert. Sie können auch optionale Apps angeben, die die Benutzer im geschäftlichen Bereich installieren dürfen. Ebenso können Sie beschränkte Apps angeben, die Benutzer nicht installieren dürfen. Je nach Typ des Geräts und Aktivierungsart können Sie auf einigen Geräten auch steuern, welche Apps Benutzer im persönlichen Bereich installieren dürfen. Weitere Informationen zum Angeben erforderlicher, optionaler und eingeschränkter Apps und zum Verhalten dieser Apps auf verschiedenen Geräten finden Sie in der Dokumentation für Administratoren. 35 Verwalten der Gerätesicherheit mit BES12 Kontrolle von persönlichen Apps auf Geräten Je nach Typ des Geräts und Aktivierungsart können Sie das Installieren von persönlichen Apps auf den Geräten einschränken. Für iOS-, Android- und Windows Phone 8.x-Geräte können Sie eine Liste der eingeschränkten Apps erstellen, die Ihre Benutzer nicht installieren sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen verbrauchen, zu installieren. Für BlackBerry 10- und Android-Geräte mit Samsung KNOX Workspace oder Android for Work müssen Sie keine Liste mit gesperrten Apps erstellen. Auf diesen Geräten können Benutzer nur Apps im geschäftlichen Bereich installieren, die Sie ausdrücklich zugelassen haben. Verwandte Informationen Verhindern der Installation spezifischer Apps durch die Benutzer, auf Seite 66 Installieren von persönlichen Apps auf BlackBerry 10-Geräten Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus verschiedenen Quellen wie z. B. BlackBerry World, dem Amazon Appstore, E-Mail-Anhängen, Downloads über den Browser, Medienkarten und mithilfe des Entwicklungsmodus installieren (wenn der Entwicklungsmodus nicht beschränkt ist). Auf regulierten BlackBerry Balance-Geräten können Sie eine IT-Richtlinienregel verwenden, um Benutzer im persönlichen Bereich an der Installation von Apps aus anderen Quellen als BlackBerry World oder mithilfe des Entwicklungsmodus zu hindern. Wenn Sie den Entwicklungsmodus jedoch mit IT-Richtlinienregeln eingeschränkt haben, können Benutzer auch im persönlichen Bereich keine Apps im Entwicklungsmodus installieren. BlackBerry Balance- und regulierte BlackBerry Balance-Geräte klassifizieren alle Android-Apps als persönliche Apps, sodass sie nur im persönlichen Bereich der Geräte installiert werden können. Sie können Android-Apps nicht für die Installation im geschäftlichen Bereich bereitstellen oder genehmigen. Android-Apps können nur auf persönliche Daten im persönlichen Bereich zugreifen. Verwalten geschäftlicher Apps auf BlackBerry 10-Geräten Sie können BES12 verwenden, um Apps, die Ihr Unternehmen als geschäftliche Apps auf BlackBerry 10-Geräten verfügbar machen will, zu verwalten und zu überwachen. Geschäftliche Apps werden zum geschäftlichen Bereich auf Geräten hinzugefügt, und geschäftliche Apps können nur auf Geschäftsdaten zugreifen und mit anderen geschäftlichen Apps interagieren. Auf Geräten kann dieselbe App getrennt voneinander im geschäftlichen Bereich und im persönlichen Bereich installiert sein. Jede Instanz der App wird von der anderen getrennt gehalten und jede arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem sie installiert ist. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die andere Instanz. Beispielsweise kann eine im persönlichen Bereich installierte Instant Messaging-App gegen das Hinzufügen von geschäftlichen Kontakten beschränkt sein, während die gleiche, im geschäftlichen Bereich installierte Instant Messaging-App nicht dieser Beschränkung unterliegt. Hinweis: Der geschäftliche Bereich unterstützt BlackBerry Runtime für Android-Apps nicht. 36 Verwalten der Gerätesicherheit mit BES12 Weitere Informationen finden Sie in der Dokumentation für Administratoren. BlackBerry World for Work Die App BlackBerry World for Work wird während der Aktivierung im geschäftlichen Bereich auf BlackBerry 10-Geräten installiert. BlackBerry World for Work enthält eine Registerkarte "Geschäftliche Apps" und eine Registerkarte "Öffentliche Apps", auf denen optionale Apps aufgelistet werden. Die Registerkarte "Geschäftliche Apps" bietet eine Liste optionaler Apps, die von Ihrem Unternehmen gehostet und mit BES12 bereitgestellt werden. Die Registerkarte "Öffentliche Apps" enthält eine Liste der Apps aus der öffentlichen BlackBerry World-App, die Sie als optionale Apps für den geschäftlichen Bereich angegeben haben. Wenn eine der Apps, die Sie als optionale Apps angeben, nicht bestimmten Kriterien für Geräte (z. B. Dienstanbieter, Land oder Geräteversion) entspricht, erscheinen die Apps auf diesen Geräten nicht in BlackBerry World for Work. Wenn Sie eine AndroidApp aus dem öffentlichen BlackBerry World als eine optionale App bestimmen, erscheint diese auf Geräten nicht in BlackBerry World for Work. Weitere Informationen zum Hinzufügen von Apps zu BlackBerry World for Work: Siehe Dokumentation für Administratoren . Nutzer mithilfe von Entwicklungstools von der Installation von Apps abhalten App-Entwickler können Entwicklungstools verwenden, um Apps, die sie entwickeln, zu testen, indem sie die Apps auf BlackBerry 10-Geräten mithilfe einer USB- oder Wi-Fi-Verbindung installieren. Sie können mit IT-Richtlinienregeln verhindern, dass Benutzer über die Entwicklertools Apps auf dem Gerät oder in dessen geschäftlichem Bereich installieren. Wenn der Entwicklungsmodus auf Geräten nicht erlaubt ist: • Benutzer können Apps im geschäftlichen Bereich nur von der Verkaufsplattform BlackBerry World for Work aus installieren. • Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Benutzer im persönlichen Bereich Apps aus allen verfügbaren Quellen (wie z. B. BlackBerry World und App-Downloads aus dem Browser) installieren, sie können jedoch den Entwicklungsmodus nicht nutzen. Verwalten der von Apps geöffneten Links in geschäftlichen und persönlichen Bereichen eines BlackBerry 10 Geräts Im Allgemeinen können geschäftliche Apps nur andere geschäftliche Apps öffnen und persönliche Apps nur andere persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten öffnen. Zum Beispiel öffnet sich beim Klicken auf Links in persönlichen E-Mail-Nachrichten der Browser im persönlichen Bereich. In einigen Fällen öffnen die geschäftlichen Apps solche, die als persönliche Apps klassifiziert wurden, wie Telefon, BBM oder SMS. Für solche Fälle haben Geräte Beschränkungen, die gegen Datenverlust schützen und sicherstellen, dass nur die minimal erforderliche Datenmenge bei der Initiierung der persönlichen Apps zwischen geschäftlichen und persönlichen Apps übertragen wird. Standardmäßig können Benutzer den Browser im persönlichen Bereich verwenden, um Links sowohl in persönlichen als auch in geschäftlichen E-Mail-Nachrichten zu öffnen. Links in geschäftlichen E-Mail-Nachrichten öffnen den Browser im persönlichen Bereich, und die Geräte zeigen eine Nachricht an, die stattdessen das Öffnen des Links im Browser des 37 Verwalten der Gerätesicherheit mit BES12 geschäftlichen Bereichs zulässt. Sie können eine IT-Richtlinienregel benutzen, die es erforderlich macht, dass Links in geschäftlichen E-Mails immer im Browser des geschäftlichen Bereichs geöffnet werden. Vorinstallierte Apps auf Geräten unverfügbar machen Sie können IT-Richtlinienregeln verwenden, um einige vorinstallierte Apps unverfügbar zu machen. Dies funktioniert auf Geräten, die nur über einen geschäftlichen Bereich verfügen, sowie auf regulierten BlackBerry Balance-Geräten im persönlichen sowie im geschäftlichen Bereich. Sie können die Verwendung folgender Apps verhindern: • BBM • BlackBerry Blend • BlackBerry Maps • BlackBerry Protect • YouTube für BlackBerry-Geräte • Von Mobilfunkanbietern installierte Apps Sie können Benutzern auch das Erstellen von Konten für Dienste wie Facebook, Twitter, LinkedIn und Evernote auf dem Gerät untersagen. Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. Kontrolle der Netzwerkverbindung von Apps auf BlackBerry 10-Geräten Sie können IT-Richtlinienregeln anwenden, um festzulegen, wie geschäftliche und persönliche Apps mit Netzwerken verbunden werden. Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten wird der geschäftliche und der persönliche Datenverkehr unabhängig voneinander weitergeleitet. Da Geräte, die nur über einen geschäftlichen Bereich verfügen, vollständig von Ihrem Unternehmen gesteuert werden, gelten alle Apps und Daten auf diesen Geräten als geschäftliche Apps und geschäftliche Daten. Steuern, wie geschäftliche Apps eine Verbindung zu Geschäftsnetzwerken herstellen Mit IT-Richtlinienregeln können Sie steuern, welche Verbindungsarten geschäftliche Apps auf BlackBerry 10-Geräten zum Herstellen einer Verbindung zu Ihrem Unternehmensnetzwerk verwenden können. Geschäftliche Apps können über mehrere Kommunikationsmethoden auf Ihr Unternehmensnetzwerk zugreifen. Diese Verbindungen werden priorisiert und geschäftliche Apps verwenden normalerweise die Standardroute. Die IT-Richtlinie "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" steuert, welche Verbindungen für geschäftliche Apps verfügbar sind. Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" nicht aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen: 1. Geschäftliche VPN-Profile über ein Wi-Fi-Netzwerk 38 Verwalten der Gerätesicherheit mit BES12 2. Geschäftliche VPN-Profile über ein mobiles Netzwerk 3. Geschäftliche Wi-Fi-Profile 4. BlackBerry Infrastructure über ein Wi-Fi-Netzwerk 5. BlackBerry Infrastructure über ein Mobilfunknetz Geschäftliche Apps können standardmäßig Wi-Fi-Profile, VPN-Profile oder BES12 für die Verbindung mit Ihrem Unternehmensnetzwerk verwenden. Wenn Sie den gesamten Datenverkehr auf Geräten steuern oder filtern möchten, können Sie die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" verwenden. Wenn Sie diese Regel wählen, deaktivieren Sie Wi-Fi- und VPN-Verbindungen für geschäftliche Apps und beschränken die Konnektivität ausschließlich auf BES12 (dabei kommen der BlackBerry MDS Connection Service und die BlackBerry Infrastructure zum Einsatz). Wenn die IT-Richtlinienregel "Steuerung des Netzwerkzugriffs für geschäftliche Apps erzwingen" aktiviert ist, versuchen geschäftliche Apps in dieser Reihenfolge über die folgenden Kommunikationsmethoden eine Verbindung zu Ihrem Unternehmensnetzwerk herzustellen: 1. BlackBerry Infrastructure über ein Wi-Fi-Netzwerk 2. BlackBerry Infrastructure über ein Mobilfunknetz 39 Verwalten der Gerätesicherheit mit BES12 Verhindern, dass sich persönliche Apps mit Netzwerken verbinden Standardmäßig können persönliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten das VPN- oder Wi-Fi-Netzwerk Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen. Sie können mit einer IT-Richtlinienregel alle Apps im persönlichen Bereich daran hindern, dass sie Ihre Unternehmensnetzwerke zur Verbindung mit dem Internet nutzen. Wenn Sie verhindern, dass persönliche Apps das Netzwerk Ihres Unternehmens verwenden, um eine Verbindung mit dem Internet herzustellen, wenn kein persönliches Netzwerk verfügbar ist, ist es möglich, dass persönliche Apps, die eine Internetverbindung erfordern, nicht funktionieren. BBM Video wird als eine persönliche App auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten klassifiziert. Wenn Sie persönlichen Apps gestatten, die Netzwerke Ihres Unternehmens zur Internetverbindung zu nutzen, können Sie mit einer IT-Richtlinienregel BBM Video daran hindern, die Netzwerke Ihrer Organisation für eingehende und ausgehende VideoChats zu benutzen. Geschäftlichen Apps erlauben, eine Verbindung zu persönlichen Netzwerken herzustellen Standardmäßig können geschäftliche Apps auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten keine persönlichen Netzwerke nutzen, um eine Verbindung zum Internet herzustellen. Sie können mit einer IT-Richtlinienregel bestimmen, dass geschäftliche Apps, einschließlich Terminplaner-Apps, Verbindungen mithilfe von persönlichen Netzwerken herstellen, wenn das geschäftliche Wi-Fi-Netzwerk oder VPN nicht verfügbar ist. Die meisten Apps auf Geräten, die nur über einen geschäftlichen Bereich verfügen, senden alle Daten über das Netzwerk Ihres Unternehmens. Die folgenden Apps und Funktionen auf Geräten, die nur über einen geschäftlichen Bereich verfügen, leiten keinen Datenverkehr durch das Netzwerk Ihres Unternehmens und können Daten durch jede persönliche Wi-Fi-Verbindung oder über das mobile Netzwerk senden: • Softwareupdates • BBM, einschließlich BBM Voice und BBM Video • Hotspot-Browser 40 Verwalten der Gerätesicherheit mit BES12 • Mobile Bezahl-Kommunikation mit einem Zahlungsdienst • Ersteinrichtung persönlicher E-Mail-Konten (persönliche E-Mail-Nachrichten werden durch das Netzwerk Ihres Unternehmens geleitet) Good Dynamics-Produktivitätsanwendungen Sie können BES12 verwenden, um iOS- und Android-Geräten den Zugriff auf Good Dynamics-Produktivität-Apps, wie Good Work, Good Access und Good Connect, zu ermöglichen. DieGood Work-App bietet sicheren Zugriff auf geschäftliche E-Mails und ermöglicht Benutzern das Anzeigen und Senden von Anlagen, Erstellen benutzerdefinierter Benachrichtigungen und das Verwalten ihrer Nachrichten. Good Access ist ein sicherer Browser, der Benutzern den sicheren Zugriff auf das Unternehmens-Intranet und Webanwendungen ermöglicht. Er ermöglicht Ihnen zudem den Zugang zu Ressourcen an Ihrem Arbeitsplatz oder das Erstellen und Bereitstellen von HTML5-Apps, während gleichzeitig ein hohes Maß an Sicherheit und Richtlinientreue gewährleistet ist. Good Connect unterstützt Kommunikation und Zusammenarbeit mit sicherem Instant Messaging, Suchanfragen im Unternehmensverzeichnis und Anwesenheitsbenachrichtigungen über eine benutzerfreundliche Schnittstelle auf dem Gerät des Benutzers. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Gesicherte Apps auf Geräten mit Secure Work Space Gesicherte Apps werden speziell zur Ausführung im geschäftlichen Bereich von iOS- und Android-Geräten mit Secure Work Space entwickelt. Gesicherte Apps bieten die gleiche Sicherheitsstufe wie Apps, die im geschäftlichen Bereich auf BlackBerry 10-Geräten installiert sind. Sichere Anwendungen sind gewrappt und verfügen über einen "Fingerabdruck". Zusätzlich zu gesicherten Standard-Apps können Sie die internen Apps Ihres Unternehmens in gesicherte Apps konvertieren und sie im geschäftlichen Bereich installieren. Alternativ können Sie sichere Apps vom App Store oder Google Play verteilen, die der AppAnbieter speziell für die Ausführung im geschäftlichen Bereich vorbereitet hat. Typen von Apps für Secure Work Space Geräte mit Secure Work Space können drei verschiedene Arten von Apps ausführen: Art von App Beschreibung Persönliche App Eine App, die der Benutzer auf dem Gerät installiert, oder eine App, die der Hersteller oder der Mobilfunkanbieter auf dem Gerät installiert. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als persönliche Daten. Geschäftliche App Eine App, die Sie auf dem Gerät eines Benutzers installieren und verwalten. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als geschäftliche Daten. 41 Verwalten der Gerätesicherheit mit BES12 Art von App Beschreibung Gesicherte App Eine geschäftliche App, die der geschäftliche Bereich mit zusätzlichen Schutzmaßnahmen sichert. BES12 behandelt diese Apps und die von diesen Apps gespeicherten Daten als Daten im geschäftlichen Bereich. Es gibt verschiedene Typen gesicherter Apps: Art von App Beschreibung Standardmäßig gesicherte App Eine gesicherte App, die auf jedem Gerät mit Secure Work Space angezeigt wird. Intern gesicherte App Eine App, die von Ihrem Unternehmen entwickelt und speziell vorbereitet wird, um im geschäftlichen Bereich ausgeführt zu werden. Extern gesicherte App Eine App, die von einem Drittanbieter entwickelt wird und vom App-Anbieter speziell vorbereitet wird, um im geschäftlichen Bereich ausgeführt zu werden. Verwalten der Verfügbarkeit von gesicherten Apps auf Geräten Sie können BES12 verwenden, um gesicherte Apps auf Geräten mit Secure Work Space zu installieren und zu verwalten. Gesicherte Apps können nur auf Daten im geschäftlichen Bereich zugreifen und mit anderen gesicherten Apps interagieren. Standardmäßig gesicherte Apps werden auf jedem Gerät mit Secure Work Space angezeigt. Bei den folgenden Apps handelt es sich um standardmäßig gesicherte Apps: Gerätetyp iOS Android Name • Work Connect – für E-Mail, Kalender, Kontakte, Notizen und Aufgaben • Work Browser – für Internet-Browsing • Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien • Work Space Manager – für das Ausführen der sonstigen gesicherten Apps auf dem Gerät erforderlich • Secure Work Space – für E-Mail, Kalender, Kontakte und Internet-Browsing • Documents To Go – für die Anzeige und Bearbeitung von Microsoft Office-Dateien Sie haben auch die Möglichkeit, die internen Apps Ihres Unternehmens in gesicherte Apps zu konvertieren. Sie müssen die binäre App-Datei (.apk oder .ipa) mithilfe der Verwaltungskonsole sichern. Daraufhin muss der Entwickler der App die App neu signieren (und bei Bedarf eine Berechtigungsdatei erstellen). Schließlich können Sie die App im geschäftlichen Bereich auf Geräten installieren. 42 Verwalten der Gerätesicherheit mit BES12 Weitere Informationen zur Installation einer App im geschäftlichen Bereich finden Sie in der Dokumentation für Administratoren. Anbieter von Drittanbieter-Apps können gesicherte Apps erstellen, die speziell für die Ausführung im geschäftlichen Bereich konzipiert wurden, und im App Store oder dem Google Play verfügbar machen. Sie können diese Apps im geschäftlichen Bereich auf Benutzergeräten installieren. Apps aus dem App Store oder aus Google Play, die nicht den gesicherten Apps zugewiesen sind, können im geschäftlichen Bereich weder installiert noch ausgeführt werden. Nur der App-Anbieter kann Apps sichern und neu signieren, sodass sie im geschäftlichen Bereich installiert werden können. Sie können die gesicherten Anwendungen festlegen, die Sie installieren, aktualisieren oder entfernen möchten, und Sie können festlegen, welche Apps erforderlich oder optional sind. Sie können auch die Gerätemodelle bestimmen, die eine App unterstützen, sodass sie nur auf kompatiblen Geräten installiert wird. Wenn Sie bestimmen, dass eine App erforderlich ist, wird diese App automatisch auf dem Gerät installiert. Wenn Benutzer die App entfernen, können Sie das Profil für die Vorschrifteneinhaltung verwenden, um eine Benachrichtigung an die Benutzer zu senden und sie aufzufordern, die Anforderungen Ihres Unternehmens zu erfüllen. Sie können auch den Zugriff von Benutzern auf die Ressourcen und Anwendungen Ihres Unternehmens beschränken und geschäftliche Daten oder alle Daten vom Gerät löschen. Auf Geräten mit Secure Work Space kann die gleiche App separat als gesicherte App und entweder als geschäftliche oder persönliche App installiert werden. Alle Instanzen der App sind voneinander getrennt und jede App arbeitet gemäß den Regeln und Beschränkungen, die für den Bereich gelten, in dem die App installiert wurde. Die Apps können konfiguriert, aktualisiert oder unabhängig voneinander entfernt werden, und die Veränderungen an der einen Instanz haben keine Auswirkungen auf die andere Instanz. Zum Beispiel ist es möglich, dass eine als persönliche App installierte Instant Messaging-App bei der Hinzufügung von geschäftlichen Kontakten eingeschränkt ist, während diese Einschränkung nicht gilt, wenn die gleiche Instant Messaging-App als gesicherte App installiert wird. So umschließt ein geschäftlicher Bereich gesicherte Apps Ein geschäftlicher Bereich schützt gesicherte Apps durch das Wrapping von Apps davor, dass andere Apps auf dem Gerät ausgeführt werden. Das Wrapping von Apps ist ein Vorgang, bei dem einer bestehenden App eine Sicherheitsschicht und Kontrolle hinzugefügt werden. Der Quellcode der App wird nicht verändert. Stattdessen übernimmt der Wrapping-Vorgang die Anforderungen der App an die Systemdienste und leitet diese an eine Bibliothek von Mechanismen und Richtlinien um. BES12 umschließt Apps automatisch für iOS- und Android-Geräte, wenn Sie die Apps als gesichert festlegen. Der App-WrappingVorgang ist voll mit den Richtlinien kompatibel, die Apple für iOS-Geräte erzwingt. Der App-Wrapping-Vorgang schaltet System-API-Aufrufe zwischen, damit der geschäftliche Bereich die Anforderungen einer gesicherten App an Systemdienste weiterleiten kann. Bei Apps, die unter Android OS auf der virtuellen Maschine Dalvik ausgeführt werden, führt der geschäftliche Bereich die Zwischenschaltung auf zwei Schichten durch: Ersetzen von Dalvik-ByteCode-API-Aufrufen durch eigene Abschnitte und Verknüpfen von Aufrufen für nativen Objektcode. Bei Apps, die unter iOS nicht auf einer virtuellen Maschine ausgeführt werden, verknüpft der geschäftliche Bereich nur Aufrufe für nativen Objektcode. Der App-Wrapping-Vorgang packt dann die App um, sodass der Sicherheitscode und der ursprüngliche Code physisch nicht getrennt werden können. Dieses Umpacken stellt sicher, dass bei nachfolgenden Änderungen an einer gesicherten App durch Dritte die Ausführung der gesicherten App auf dem Gerät verhindert wird. 43 Verwalten der Gerätesicherheit mit BES12 App-Wrapping in der BlackBerry Infrastructure Ist das Wrapping einer App erfolgreich, wird die App 72 Stunden in der BlackBerry Infrastructure gespeichert, nachdem das Wrapping abgeschlossen ist. Schlägt das Wrapping einer App fehl, dann gibt die BlackBerry Infrastructure einen Fehlerstatus an BES12 aus, bevor die BlackBerry Infrastructure die App aus ihren Datensätzen löscht. Wenn BES12 eine App an die BlackBerry Infrastructure zum Wrapping sendet, wird ein eindeutiger Mandantenbezeichner gesendet. Die BlackBerry Infrastructure bezieht den Mandantenbezeichner im Wrapping mit ein und erfasst die Zuordnung zwischen dem Mandantenbezeichner und der gewrappten App. Wenn die App nach der Weiterleitung an ein Gerät einen Zusammenschluss mit anderen gesicherten Apps versucht, sendet das Gerät zunächst eine Anforderung an die BlackBerry Infrastructure, um zu überprüfen, ob Benutzer, Gerät und App mit dem Mandantenbezeichner verknüpft sind. Durch diese Überprüfung wird verhindert, dass die App im geschäftlichen Bereich anderer Besitzer von BES12 ausgeführt wird. Die BlackBerry Infrastructure untersucht während der Überprüfung auch App-Metadaten wie die Signatur und den Paketnamen. Wenn die Überprüfung erfolgreich ist, wird die App für den Zusammenschluss auf dem Gerät zugelassen. Externe gesicherte Apps, die öffentlich in einem App Store verfügbar sind, enthalten keinen Mandantenbezeichner und können im geschäftlichen Bereich aller BES12-Besitzer ausgeführt werden. Austausch von Informationen zwischen gesicherten Apps Durch den Zusammenschluss können gesicherte Apps Informationen auf kontrollierte Weise austauschen. App-Wrapping stellt eine definierte Schnittstelle bereit, mit der eingeschränkt wird, was Apps tun können, wenn sie mithilfe des verschlüsselten Dateisystems kommunizieren. Wenn eine gesicherte App in der BlackBerry Infrastructure gewrappt wird, wird ein Hash des App-Codes erzeugt. Dieser Hashwert ist auch als Fingerabdruck bekannt, und die BlackBerry Infrastructure zeichnet den Fingerabdruck und die Metadaten der App auf. Wenn eine gesicherte App zum ersten Mal auf einem Gerät ausgeführt wird, wird von dem Gerät eine Laufzeitversion des Fingerabdrucks und der Metadaten der App erstellt und an die BlackBerry Infrastructure gesendet. Die BlackBerry Infrastructure vergleicht den gespeicherten Fingerabdruck und die gespeicherten Metadaten mit den Laufzeitversionen des Fingerabdrucks und der Metadaten. Bei einer Übereinstimmung benachrichtigt die BlackBerry Infrastructure das Gerät, das es eine Zusammenführung durchführen und die App ausführen kann. Stimmen die beiden Versionen der Fingerabdrücke und Metadaten nicht überein, benachrichtigt die BlackBerry Infrastructure das Gerät, dass die App nicht zusammengeführt und ausgeführt werden kann. Der Benutzer sieht eine Fehlermeldung. Über eine dynamische Zusammenführungsliste auf dem Gerät wird identifiziert, welche gesicherten Apps zusammengeführt werden können. Wenn die BlackBerry Infrastructure das Gerät benachrichtigt, dass es eine Zusammenführung durchführen und die App ausführen kann, fügt das Gerät die App zur Zusammenführungsliste hinzu. Bei jeder folgenden Ausführung der App vergleicht das Gerät den Laufzeit-Fingerabdruck der App mit dem in der Zusammenführungsliste zwischengespeicherten Fingerabdruck. Die BlackBerry Infrastructure kann die Zusammenführungsliste jederzeit widerrufen und das Gerät dazu zwingen, die Liste zu rekonstruieren. Netzwerkkonnektivität wird benötigt, um zu überprüfen, ob eine App für die Zusammenführung zugelassen werden kann. Wenn die Zusammenführung erfolgreich ist, können die zusammengeführten Apps einen Schlüsselaustausch mit Einschränkungen durchführen, sodass sie Zugriff auf die gleichen Daten im verschlüsselten Dateisystem haben. 44 Verwalten der Gerätesicherheit mit BES12 So fertigt ein geschäftlicher Bereich Fingerabdrücke gesicherter Apps an Ein geschäftlicher Bereich schützt gesicherte Apps mithilfe von Fingerabdrücken vor Trojanern und Schadsoftware. Fingerabdrücke verwenden einen Algorithmus, um eine App einer kurzen Bitfolge zuzuweisen. Diese Bitfolge ist der Fingerabdruck der App und dient als eindeutiger Datensatz der App. Die Überprüfung eines Fingerabdrucks ist effizienter als die Übertragung und der Vergleich der ursprünglichen App mit der App auf dem Gerät, wobei viel größere Dateien als bei einem Fingerabdruck benötigt werden. Bevor eine gesicherte App zu einem Gerät mit Secure Work Space hinzugefügt wird, erstellt die BlackBerry Infrastructure einen Fingerabdruck der gesicherten App. Die BlackBerry Infrastructure sendet die gesicherte App und den Fingerabdruck an das Gerät. Bevor die gesicherte App auf dem Gerät hinzugefügt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App und vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Jedes Mal, wenn die gesicherte App ausgeführt wird, berechnet der geschäftliche Bereich den Fingerabdruck der gesicherten App und vergleicht ihn mit dem Fingerabdruck, der von der BlackBerry Infrastructure gesendet wurde. Wenn die verglichenen Fingerabdrücke nicht übereinstimmen, führt das Gerät die gesicherte App nicht aus. Anlagen für gesicherte Drittanbieter-Apps Standardmäßig können Anlagen für eine gesicherte Drittanbieter-App nicht außerhalb der UID geöffnet werden, es sei denn, die App erlaubt den Datenaustausch mit anderen Apps. Beispiele für Anlagen einer gesicherten Drittanbieter-App sind u. a. EMail, MMS und Browser-Downloads. Das Wrapping der App fängt die Standard-APIs ab, die iOS und Android verwenden und verhindert, dass die App Daten in eine andere App überträgt. Private APIs sind in iOS oder Android nicht erlaubt. Das Wrapping stellt auch sicher, dass Anlagen vor dem Speichern verschlüsselt werden. Kennwörter Gerätekennwörter und Kennwörter für den geschäftlichen Bereich schützen die Daten Ihres Unternehmens und die Benutzerinformationen, die auf den Geräten gespeichert sind. Sie können BES12 verwenden, um den Kennwortschutz auf Geräten zu erzwingen. Anforderungen für Gerätekennwörter können mithilfe von IT-Richtlinienregeln eingerichtet werden. Jeder Gerätetyp unterstützt verschiedene IT-Richtlinienregeln zur Kontrolle der Passwortanforderungen für das Gerät und den geschäftlichen Bereich. Sie können Anforderungen an die Kennwortlänge und -komplexität, die Gültigkeitsdauer, die Dauer der Inaktivität, bis das Gerät oder der geschäftliche Bereich zur Kennworteingabe auffordert und die Anzahl der möglichen Eingabeversuche festlegen. Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Ändern von Kennwörtern In Abhängigkeit von den unterstützen Gerätefunktionen können Sie BES12-Verwaltungsbefehle nutzen, um Geräte aus der Entfernung zu sperren und die Kennwörter zu ändern. Sie können dies beispielsweise tun, wenn ein Gerät verloren gegangen ist 45 Verwalten der Gerätesicherheit mit BES12 oder ein Benutzer das Kennwort vergessen hat. Wenn ein Gerät über einen geschäftlichen Bereich verfügt, können Sie auch das Kennwort für den geschäftlichen Bereich ändern. Die folgenden Optionen stehen für den jeweiligen Gerätetyp zur Verfügung: BlackBerry 10 IT-Administrationsbefehl Beschreibung Gerätekennwort festlegen, Gerät sperren und Nachricht einrichten Dieser Befehl erzeugt ein neues Gerätekennwort, legt eine Mitteilung auf der Startseite fest (zum Beispiel Informationen darüber, wo ein gefundenes Gerät abgegeben werden soll) und sperrt dann das Gerät. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen. Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Kennwort für den geschäftlichen Bereich. Geschäftlichen Bereich sperren und Kennwort festlegen Mit diesem Befehl können Sie ein neues Kennwort für den geschäftlichen Bereich auf BlackBerry Balance-Geräten oder regulierten BlackBerry Balance-Geräten festlegen und den geschäftlichen Bereich sperren. Sie müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Um den geschäftlichen Bereich zu entsperren, muss der Benutzer das neue von Ihnen erstellte Kennwort eingeben. Wenn eine IT-Richtlinie erfordert, dass das Gerät das gleiche Kennwort für das Gerät und den geschäftlichen Bereich nutzen muss, ändert dieser Befehl zudem das Gerätekennwort. iOS IT-Administrationsbefehl Beschreibung Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden. Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt. Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar. Kennwort entsperren und löschen Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der Benutzer das Gerätekennwort vergessen hat. 46 Verwalten der Gerätesicherheit mit BES12 IT-Administrationsbefehl Beschreibung Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar. Geschäftlichen Bereich sperren Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu entsperren. Kennwort für geschäftlichen Bereich zurücksetzen Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort für den geschäftlichen Bereich festzulegen. OS X IT-Administrationsbefehl Beschreibung Desktop sperren Mit diesem Befehl können Sie eine PIN festlegen und das Gerät sperren. Android IT-Administrationsbefehl Beschreibung Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden. Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt. Kennwort entsperren und löschen Dieser Befehl entsperrt ein Gerät und löscht das bestehende Kennwort. Der Benutzer wird zur Eingabe eines Gerätekennworts aufgefordert. Sie können diesen Befehl verwenden, wenn der Benutzer das Gerätekennwort vergessen hat. Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar. Geschäftlichen Bereich sperren Dieser Befehl sperrt den geschäftlichen Bereich auf einem Gerät, sodass der Benutzer das bestehende Kennwort für den geschäftlichen Bereich eingeben muss, um das Gerät zu entsperren. Dieser Befehl ist nur für Geräte mit Secure Work Space verfügbar. 47 Verwalten der Gerätesicherheit mit BES12 IT-Administrationsbefehl Beschreibung Kennwort für geschäftlichen Bereich zurücksetzen Dieser Befehl löscht das aktuelle Kennwort für den geschäftlichen Bereich vom Gerät. Wenn der Benutzer den geschäftlichen Bereich öffnet, fordert das Gerät ihn auf, ein neues Kennwort für den geschäftlichen Bereich festzulegen. Dieser Befehl ist nur für Geräte mit Secure Work Space oder Samsung KNOX Workspace verfügbar. Gerätekennwort festlegen und Mit diesem Befehl erstellen Sie ein Gerätekennwort. Anschließend wird das Gerät gesperrt. Sie sperren müssen ein Kennwort erstellen, das die bestehenden Kennwortregeln erfüllt. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen. Dieser Befehl ist für Geräte mit Geschäftlich und persönlich – Benutzer-DatenschutzAktivierungen nicht verfügbar. Windows IT-Administrationsbefehl Beschreibung Gerät sperren Mit diesem Befehl sperren Sie ein Gerät. Der Benutzer muss das bestehende Gerätekennwort eingeben, um das Gerät zu entsperren. Wenn ein Gerät vorübergehend verlegt wurde, können Sie diesen Befehl verwenden. Wenn Sie diesen Befehl senden, wird das Gerät nur gesperrt, wenn ein Gerätekennwort vorhanden ist. Andernfalls wird auf dem Gerät keine Aktion ausgeführt. Dieser Befehl wird nur auf Geräten unterstützt, auf denen Windows 10 Mobile und Windows Phone 8.1 oder höher ausgeführt wird. Gerätekennwort erstellen und Mit diesem Befehl wird ein neues Kennwort generiert und das Gerät gesperrt. Das generierte Gerät sperren Kennwort wird dem Benutzer per E-Mail gesendet. Sie können die vorgewählte E-Mail-Adresse verwenden oder eine E-Mail-Adresse angeben. Das generierte Kennwort erfüllt alle bestehenden Kennwortregeln. Dieser Befehl wird auf nur Geräten mit Windows 10 Mobile und Windows Phone OS Version 8.10.14176 oder höher unterstützt. Kennwörter für BlackBerry 10-Geräte BlackBerry 10-Geräte verwenden die gleichen Kennwortregeln für das Gerät und den geschäftlichen Bereich. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, sind Kennwörter nicht optional. Da nur ein geschäftlicher Bereich auf diesen Geräten verfügbar ist, müssen Benutzer ein Kennwort festlegen; die Kennwortanforderungen und -optionen gelten für das gesamte Gerät. 48 Verwalten der Gerätesicherheit mit BES12 Bei BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten bestimmt die Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich", ob der geschäftliche Bereich ein Kennwort benötigt. Wenn diese Regel ausgewählt wurde, wird das geschäftliche Kennwort (in den "BlackBerry Balance"-Einstellungen des Geräts) als das Kennwort für den geschäftlichen Bereich verwendet. Wenn die IT-Richtlinienregel "Kennwort für geschäftlichen Bereich erforderlich" ausgewählt wurde, können Sie außerdem mithilfe der Regel "Kennwort für das gesamte Gerät anfordern" verlangen, dass Benutzer ein Kennwort für das gesamte Gerät festlegen. Wenn Sie dies tun, können Sie für Geräte mit BlackBerry 10 OS Version 10.3.1 oder höher die IT-Richtlinienregel "Verhalten der Kennwörter des geschäftlichen Bereichs und Gerätekennwort definieren" anwenden, um festzulegen, ob das Kennwort des geschäftlichen Bereiches und das Gerätekennwort gleich oder verschieden sein müssen, oder Sie können den Benutzer wählen lassen. Wenn Sie den Benutzer wählen lassen, kann dieser sein Kennwort des geschäftlichen Bereichs als sein Gerätekennwort verwenden, indem er die Option "Als mein Gerätekennwort verwenden" in den "BlackBerry Balance"Einstellungen auswählt. Wenn das Kennwort des geschäftlichen Bereichs und das Gerätekennwort gleich sind, wird das geschäftliche Kennwort als das Kennwort für das gesamte Gerät verwendet und die IT-Richtlinienregeln in der Regelgruppe "Kennwort" gelten für das Kennwort des gesamten Geräts. Wenn ein Benutzer das Gerät entsperrt, wird gleichzeitig der geschäftliche Bereich entsperrt. Benutzer können den geschäftlichen Bereich manuell sperren, wenn sie den persönlichen Bereich der Geräte nutzen. Wenn Sie nicht verlangen, dass Benutzer ein geschäftliches Kennwort festlegen, können Sie weder das Kennwort für das gesamte Gerät anfordern, noch das Verhalten des Kennworts des geschäftlichen Bereichs und des Gerätekennworts definieren oder zusätzliche Kennwortanforderungen an Geräte durchsetzen. Benutzer können Gerätekennworteinstellungen mit der Option "Gerätekennwort" in den Einstellungen unter "Sicherheit und Datenschutz" auf den Geräten konfigurieren. Wenn ein Benutzer die persönliche Datenverschlüsselung mithilfe der Option "Verschlüsselung" auf den Geräten aktiviert, muss er ein Gerätekennwort festlegen. Geräte ermöglichen den Benutzern die Definition stärker eingeschränkter, aber niemals weniger eingeschränkter Kennworteinstellungen als die von Ihnen angegebenen Kennwortregeln. Wenn die IT-Richtlinienregel "Mindestkomplexität des Kennworts" auf "Keine Einschränkung" festgelegt ist, können Benutzer eine einfache Kennwortoption einstellen, um ein numerisches Kennwort des geschäftlichen Bereichs oder ein numerisches Gerätekennwort anstatt eines alphanumerischen Kennworts festzulegen. Weitere Informationen über Kennwortregeln für IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Sie können auch die Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ herunterladen. Ändern von BlackBerry 10-Gerätekennwörtern Sie können BES12 verwenden, um den IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" an ein Gerät zu senden, um das Gerätekennwort zu ändern. Dieser Befehl führt auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt: Bedingungen • Ergebnis Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich • Dieser Befehl erzeugt ein Kennwort für das gesamte Gerät Das Kennwort für den geschäftlichen Bereich ist nicht betroffen 49 Verwalten der Gerätesicherheit mit BES12 Bedingungen Ergebnis • Das Gerät verfügt über kein Kennwort für das gesamte Gerät • • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich • Das Gerät verfügt über ein Kennwort für • das gesamte Gerät • Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das Gerätekennwort Das Kennwort für das gesamte Gerät wird durch den Befehl geändert Das Kennwort für den geschäftlichen Bereich ist nicht betroffen Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das Gerätekennwort • Die Kennwörter sind nicht durch die ITRichtlinienregel "Kennwort für das gesamte Gerät anfordern" oder die Geräteoption "Als mein Gerätekennwort verwenden" verknüpft • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich Das Kennwort für den geschäftlichen Bereich wird durch den Befehl geändert • Das Kennwort für den geschäftlichen • Bereich wird als das Kennwort für das • gesamte Gerät mithilfe der ITRichtlinienregel "Kennwort für das gesamte Gerät anfordern" durchgesetzt Das Kennwort für das gesamte Gerät wird durch den Befehl geändert • • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich • Der Benutzer bestimmt das Kennwort • für den geschäftlichen Bereich als das Kennwort für das gesamte Gerät mithilfe • der Option "Als mein Gerätekennwort verwenden" Das gesamte Gerät wird gesperrt, beide Kennwörter werden synchronisiert und das neue Kennwort ist das Kennwort für das gesamte Gerät Das Kennwort für das gesamte Gerät wird durch den Befehl geändert Das Kennwort für den geschäftlichen Bereich ist nicht betroffen Das gesamte Gerät wird gesperrt, und das neue Kennwort ist das Gerätekennwort Die Kennwörter sind nicht verknüpft Der IT-Administrationsbefehl "Gerätekennwort festlegen, sperren und Nachricht einrichten" kann auch verwendet werden, um eine Nachricht einzurichten, die auf der Startseite des Geräts erscheint. Zum Beispiel können Kontaktinformationen angezeigt werden, die verwendet werden können, um das Gerät zum Besitzer zurückzubringen. Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen. Weitere Informationen zum Senden des IT-Administrationsbefehls „Gerätekennwort angeben, Gerät sperren und Nachricht einrichten“ an ein Gerät finden Sie in der Dokumentation für Administratoren. 50 Verwalten der Gerätesicherheit mit BES12 Ändern von BlackBerry 10-Kennwörtern für den geschäftlichen Bereich Sie können BES12 verwenden, um den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an ein Gerät zu senden, um das Kennwort für den geschäftlichen Bereich zu ändern. Geräte, die nur über einen geschäftlichen Bereich verfügen, verfügen nur über ein Gerätekennwort. Obwohl Sie diesen Befehl an Geräte, die nur über einen geschäftlichen Bereich verfügen, senden können, führt dies zu demselben Ergebnis wie das Senden des IT-Administrationsbefehls "Gerätekennwort festlegen, sperren und Nachricht einrichten". Wenn Sie den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an BlackBerry Balance- oder regulierte BlackBerry Balance-Geräte senden, führt dieser Befehl auf Geräten je nach deren Kennwörtern und Einstellungen zu verschiedenen Ergebnissen. In der folgenden Tabelle werden die Gerätebedingungen und die Ergebnisse, die dieser Befehl für diese hat, aufgeführt: Bedingungen Ergebnis • Das Gerät verfügt über kein Kennwort für den geschäftlichen Bereich • Der Befehl erzeugt ein Kennwort für den geschäftlichen Bereich • • Das Gerät verfügt über kein Kennwort für das gesamte Gerät Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das Kennwort für den geschäftlichen Bereich • Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte Gerät • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich Das Kennwort für den geschäftlichen Bereich wird durch den Befehl geändert • Das Gerät verfügt über kein Kennwort für das gesamte Gerät • Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das Kennwort für den geschäftlichen Bereich • Das Gerät verfügt weiterhin nicht über ein Kennwort für das gesamte Gerät • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich Das Kennwort für den geschäftlichen Bereich wird durch den Befehl geändert • Das Gerät verfügt über ein Kennwort für • das gesamte Gerät Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das Kennwort für den geschäftlichen Bereich • Die Kennwörter werden von Ihnen oder • vom Benutzer (über die ITRichtlinienregel "Kennwort für das gesamte Gerät ist erforderlich" oder die Option "Als mein Gerätekennwort verwenden" auf dem Gerät) nicht verknüpft. Das Kennwort für das gesamte Gerät ist nicht betroffen • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich Das Kennwort für den geschäftlichen Bereich wird durch den Befehl geändert 51 Verwalten der Gerätesicherheit mit BES12 Bedingungen • Ergebnis Sie können das Kennwort für den • geschäftlichen Bereich als das • Kennwort für das gesamte Gerät mithilfe der IT-Richtlinienregel "Kennwort für das gesamte Gerät anfordern" durchsetzen Das Kennwort für das gesamte Gerät wird durch den Befehl geändert Das gesamte Gerät wird gesperrt, beide Kennwörter werden synchronisiert und das neue Kennwort ist das Kennwort für das gesamte Gerät • Das Gerät verfügt über ein Kennwort für • den geschäftlichen Bereich Das Kennwort für den geschäftlichen Bereich wird durch den Befehl geändert • Der Benutzer bestimmt das Kennwort • für den geschäftlichen Bereich als das Kennwort für das gesamte Gerät mithilfe • der Option "Als mein Gerätekennwort • verwenden" Der geschäftliche Bereich wird gesperrt, und das neue Kennwort ist das Kennwort für den geschäftlichen Bereich Das Kennwort für das gesamte Gerät ist nicht betroffen Die Kennwörter sind nicht verknüpft Wenn BES12 keine Verbindung mit einem Gerät herstellen kann, weil das Gerät ausgeschaltet oder nicht mit einem Netzwerk verbunden ist, wird der Befehl gesendet, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Das neue Kennwort kann dem Benutzer verbal mitgeteilt werden, wenn das Gerät lokalisiert wird. Wenn der Benutzer das Gerät entsperrt, wird er vom Gerät aufgefordert, das neue Kennwort zu akzeptieren oder abzulehnen. Weitere Informationen zum Senden des IT-Administrationsbefehls „Neues Kennwort für den geschäftlichen Bereich angeben und geschäftlichen Bereich sperren“ an ein Gerät finden Sie in der Dokumentation für Administratoren. Datenfluss: Wenn Sie das Kennwort für den geschäftlichen Bereich auf einem BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändern 1. Sie senden den IT-Administrationsbefehl "Geschäftlichen Bereich sperren und Kennwort festlegen" an das Gerät. 2. Das Gerät sendet den verschlüsselten Zwischenschlüssel an BES12. 3. BES12 verwendet den privaten Schlüssel, der mit dem Gerät verknüpft ist, um den Zwischenschlüssel zu entschlüsseln, und sendet den Zwischenschlüssel zurück an das Gerät. BES12 speichert einen eindeutigen privaten Schlüssel für jedes aktivierte Gerät. 4. Das Gerät führt die folgenden Aktionen aus: 52 Verwalten der Gerätesicherheit mit BES12 • Verwendet den Zwischenschlüssel, um den geschäftlichen Hauptschlüssel erneut abzuleiten, und entschlüsselt den geschäftlichen Domänenschlüssel • Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert ihn auf dem Gerät • Generiert einen neuen Zwischenschlüssel • Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel zu generieren, und verwendet diesen, um den geschäftlichen Domänenschlüssel zu verschlüsseln • Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den BES12 mit dem Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät Da nur BES12 den zugehörigen privaten Schlüssel hat, kann nur BES12 den verschlüsselten Zwischenschlüssel entschlüsseln. Der Zwischenschlüssel wird nie dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert. Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt. Datenfluss: Wenn ein Benutzer das Kennwort für den geschäftlichen Bereich auf einem BlackBerry Balance- oder einem regulierten BlackBerry Balance-Gerät ändert 1. In den BlackBerry Balance-Einstellungen auf dem Gerät gibt der Benutzer das aktuelle Kennwort und das neue Kennwort ein. 2. Das Gerät authentifiziert den Benutzer durch Berechnung eines SHA-512-Hashwerts des aktuellen Kennworts und eines gespeicherten 64-Bit-Saltwerts und vergleicht das Ergebnis mit dem gespeicherten Hashwert des aktuellen Kennworts. Wenn die zwei Hashwerte übereinstimmen, wird der geschäftliche Bereich entsperrt und das Zurücksetzen des Kennworts fortgesetzt. 3. Das Gerät führt die folgenden Aktionen aus: • Berechnet einen SHA-512-Hashwert des neuen Kennworts und einen zufälligen 64-Bit-Saltwert und speichert ihn auf dem Gerät • Leitet den aktuellen Zwischenschlüssel ab • Verwendet den aktuellen Zwischenschlüssel, um den aktuellen geschäftlichen Hauptschlüssel abzuleiten, und entschlüsselt den geschäftlichen Domänenschlüssel • Leitet einen neuen Zwischenschlüssel ab • Verwendet den neuen Zwischenschlüssel, um einen neuen geschäftlichen Hauptschlüssel abzuleiten, den es verwendet, um den geschäftlichen Domänenschlüssel zu verschlüsseln • Verschlüsselt den neuen Zwischenschlüssel mithilfe des öffentlichen Schlüssels, den der BES12 Core mit dem Gerät verknüpft, und speichert den verschlüsselten Schlüssel auf dem Gerät Da nur der BES12 Core über den entsprechenden eindeutigen privaten Schlüssel für jedes Gerät verfügt, der auf dem BES12 Coreaktiviert wird, kann nur der BES12 Core den verschlüsselten Zwischenschlüssel entschlüsseln. Der Zwischenschlüssel wird nicht dauerhaft in unverschlüsselter Form auf dem Gerät gespeichert. Das Kennwort für den geschäftlichen Bereich wurde zurückgesetzt. 53 Verwalten der Gerätesicherheit mit BES12 Steuern des Sicherheits-Timeout Sie können die IT-Richtlinienregel "Sicherheits-Timeout" verwenden, um zu verlangen, dass ein BlackBerry 10-Gerät den geschäftlichen Bereich oder das gesamte Gerät nach einem bestimmten Zeitraum der Inaktivität wie folgt sperrt: Gerätetyp Beschreibung • BlackBerry Balance • • Reguliertes BlackBerry Balance Bei Geräten, die unterschiedliche Kennwörter für den geschäftlichen und persönlichen Bereich eingestellt haben, kann die IT-Richtlinienregel "SicherheitsTimeout" zur Kontrolle von Zeitüberschreitungen im geschäftlichen Bereich verwendet werden. • Bei Geräten, deren geschäftliches Kennwort für das gesamte Gerät gültig ist, kann die IT-Richtlinienregel "Sicherheits-Timeout" zur Kontrolle von Zeitüberschreitungen auf dem gesamten Gerät verwendet werden. Nur geschäftlicher Bereich Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, steuert die ITRichtlinienregel "Sicherheits-Timeout" die Handhabung von Zeitüberschreitungen auf dem gesamten Gerät, da es nur einen Bereich gibt. Geschäftliche Apps (einschließlich Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen) folgen dem Sicherheits-Timeout für den geschäftlichen Bereich. Wenn es in der festgelegten Zeit keine Benutzeraktivität im geschäftlichen Bereich gibt, sperrt sich der geschäftliche Bereich automatisch, auch wenn der Benutzer zu der Zeit persönliche Apps verwendet (keine Apps, die geschäftliche und persönliche Daten in einer einheitlichen Ansicht anzeigen). Bestimmte Apps wie beispielsweise Apps, die Navigationsinformationen, Diashows und Videos anzeigen, können das Sicherheits-Timeout verlängern. Standardmäßig können diese Apps den Sicherheitstimer zurücksetzen und so das Gerät daran hindern, die Sperre nach der festgelegten Inaktivitätsperiode zu aktivieren. Wenn Sie diese Funktion von Apps verhindern möchten, stellen Sie sicher, dass die IT-Richtlinienregel "Zurücksetzen des Sicherheits-Timer durch Apps zulassen" nicht ausgewählt ist. Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. Secure Work Space-Kennwörter Zum Schutz von Daten im geschäftlichen Bereich und gesicherten Apps muss bei Geräten mit Secure Work Space ein Kennwort für den geschäftlichen Bereich eingerichtet werden. Sie können IT-Richtlinienregeln zur Kontrolle von Kennwortanforderungen wie Komplexität und Länge verwenden. Im geschäftlichen Bereich wird nicht das Kennwort des geschäftlichen Bereichs gespeichert. Stattdessen verschlüsselt er Daten mithilfe eines Hashs, der vom Kennwort als Verschlüsselungsschlüssel abgeleitet wird. Nachdem das Kennwort festgelegt wurde, versucht der geschäftliche Bereich Daten mit dem aus dem Kennwort, das der Benutzer eingegeben hat, abgeleiteten Hash zu entschlüsseln, wenn der Benutzer das Kennwort eingibt, um auf den geschäftlichen Bereich zuzugreifen. Können die Daten nicht entschlüsselt werden, wird das Kennwort des Benutzers als falsch abgelehnt. 54 Verwalten der Gerätesicherheit mit BES12 Um das Zurücksetzen von Kennwörtern zu ermöglichen, generiert das Gerät einen öffentlichen und einen privaten Schlüssel, verschlüsselt den abgeleiteten Schlüssel für den geschäftlichen Bereich mit dem privaten Schlüssel und speichert den verschlüsselten Block unabhängig vom geschäftlichen Bereich. Das Gerät sendet den öffentlichen Schlüssel an BES12 und löscht lokale Kopien der öffentlichen und privaten Schlüssel. Wenn der Benutzer das Kennwort für den geschäftlichen Bereich ändert, generiert das Gerät den abgeleiteten Schlüssel erneut. Ein Benutzer kann das Kennwort für den geschäftlichen Bereich jederzeit ändern, und ein Administrator das Kennwort für den geschäftlichen Bereich mithilfe eines IT-Administrationsbefehls zurücksetzen und den Benutzer dazu veranlassen, es zu ändern. Wenn ein Administrator den IT-Administrationsbefehl zum Zurücksetzen des Kennworts für den geschäftlichen Bereich verwendet, sendet BES12 den öffentlichen Schlüssel zurück an das Gerät. Das Gerät verwendet den öffentlichen Schlüssel, um den abgeleiteten Schlüssel zu entschlüsseln. Außerdem muss der Benutzer ein neues Kennwort für den geschäftlichen Bereich eingeben. BES12 und die BlackBerry Infrastructure speichern nicht die Verschlüsselungsschlüssel des Benutzers. Weitere Informationen über IT-Richtlinienregeln für Kennwörter finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/. Timeout nach Inaktivität im geschäftlichen Bereich Wenn eine gesicherte App von einem Nutzer in den Hintergrund geschickt wird, startet diese den Timer der Inaktivitätsübergangsfrist für den geschäftlichen Bereich. Wenn der Benutzer während der Übergangsfrist eine andere gesicherte App startet, muss der Benutzer das Kennwort für den geschäftlichen Bereich nicht eingeben. Sie können das Timeout nach Inaktivität mittels der IT-Richtlinienregel "Zeitraum der Inaktivität vor dem Sperren" konfigurieren. Weitere Informationen über diese IT-Richtlinienregel finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. Datenlöschung Zum Schutz der Daten Ihres Unternehmens und der Benutzerinformationen auf dem Gerät können Sie mithilfe von BES12 geschäftliche Daten oder alle Daten von einem Gerät löschen. Auch Benutzer können geschäftliche Daten oder alle Daten von ihren Geräten löschen. Löschen aller Daten auf BlackBerry 10-Geräten BlackBerry 10-Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt: 55 Verwalten der Gerätesicherheit mit BES12 Ereignis Gerätetyp Sie senden den ITAdministrationsbefehl „Alle Gerätedaten löschen“ an ein Gerät. • • • Beschreibung Sie können BES12 verwenden, um alle Daten von den Geräten mithilfe des IT-Administrationsbefehls „Alle Gerätedaten löschen“ zu löschen. Sie können diesen Befehl beispielsweise Reguliertes an ein Gerät senden, um ein zuvor verwendetes Gerät erneut BlackBerry einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein Balance verloren gegangenes Gerät, das wahrscheinlich nicht Nur geschäftlicher wiedergefunden wird. Bereich Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind, einschließlich Informationen im geschäftlichen Bereich und Informationen auf der Medienkarte. Er setzt das Gerät auf die Werkseinstellungen zurück und löscht das Gerät aus BES12. BlackBerry Balance Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt. Weitere Informationen zum Senden dieses Befehls finden Sie in der Dokumentation für Administratoren. Sie senden den ITAdministrationsbefehl „Nur Geschäftsdaten löschen“ an ein Gerät. Nur geschäftlicher Bereich Sie können den IT-Administrationsbefehl „Nur Geschäftsdaten löschen“ an ein Gerät, das nur über einen geschäftlichen Bereich verfügt, senden, um alle Daten auf diesem zu löschen. Da diese Geräte nur über einen geschäftlichen Bereich verfügen, können Sie entweder den ITAdministrationsbefehle „Alle Gerätedaten löschen“ oder „Nur Geschäftsdaten löschen“ verwenden, um Daten von diesen Geräten zu löschen. Wenn BES12 keine Verbindung mit dem Gerät herstellen kann, weil es ausgeschaltet oder nicht mit einem Netzwerk verbunden ist, sendet BES12 den Befehl, sobald das Gerät eine Verbindung zu einem Netzwerk herstellt. Weitere Informationen zum Senden dieses Befehls finden Sie in der Dokumentation für Administratoren. 56 Verwalten der Gerätesicherheit mit BES12 Ereignis Gerätetyp Beschreibung Es verstreicht mehr Zeit, ohne dass das Gerät eine Verbindung zum Netzwerk Ihres Unternehmens herstellt, als die IT-Richtlinienregel „Daten ohne Netzwerkverbindung vom Gerät löschen“ erlaubt. • Reguliertes BlackBerry Balance • Das Gerät löscht alle Benutzerinformationen und App-Daten, die auf dem Gerät gespeichert sind, einschließlich der Informationen im geschäftlichen Bereich, und setzt das Gerät auf die Werkseinstellungen zurück. Nur geschäftlicher Bereich Sie können diese Regel verwenden, um das Gerät zu veranlassen, alle Daten zu löschen, wenn es keine Updates oder Befehle erhält. Ein Gerät sendet einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Alle Gerätedaten löschen“ eingestellt. • Reguliertes BlackBerry Balance • Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Wenn ein Integritätsalarm auftritt und „Alle Gerätedaten löschen“ als Erzwingungsaktion eingestellt wird, werden alle Daten vom Nur geschäftlicher Gerät gelöscht. Bereich Ein Gerät sendet einen Nur geschäftlicher Integritätsalarm an BES12, und als Bereich Erzwingungsaktion wird „Nur Geschäftsdaten löschen“ eingestellt. Ein Benutzer gibt das • Gerätekennwort öfter falsch ein, als in der IT-Richtlinienregel „Maximale • Kennwortversuche“ zugelassen ist. • BlackBerry Balance Reguliertes BlackBerry Balance Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Weil diese Geräte nur über einen geschäftlichen Bereich verfügen, werden alle Daten vom Gerät gelöscht, wenn ein Integritätsalarm auftritt und „Nur Geschäftsdaten löschen“ als Erzwingungsaktion eingestellt wird. Das Gerät löscht alle Benutzerinformationen und App-Daten, die auf dem Gerät gespeichert sind, einschließlich der Informationen im geschäftlichen Bereich, und setzt das Gerät auf die Werkseinstellungen zurück. Auf BlackBerry Balance- und regulierten BlackBerry BalanceNur geschäftlicher Geräten werden alle Daten vom Gerät gelöscht, wenn ein Gerät über ein Kennwort für das gesamte Gerät verfügt und Bereich ein Benutzer das Gerätekennwort öfter falsch eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, werden alle Daten vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist. Ein Benutzer verwendet die Option „Sicherheitslöschung“ auf dem Gerät. • BlackBerry Balance Ein Benutzer kann alle Daten auf Geräten mithilfe der Option „Sicherheitslöschung“ in den Einstellungen „Sicherheit und Datenschutz“ auf dem Gerät löschen. 57 Verwalten der Gerätesicherheit mit BES12 Ereignis Ein Benutzer verwendet BlackBerry Protect, um alle Gerätedaten zu löschen. Gerätetyp Beschreibung • Reguliertes BlackBerry Balance • Nur geschäftlicher Bereich • BlackBerry Balance Ein Benutzer kann auch BlackBerry Protect verwenden, um Daten von einem Gerät zu löschen. • Reguliertes BlackBerry Balance Benutzer können BlackBerry Protect nur dann verwenden, wenn die IT-Richtlinienregel „BlackBerry Protect zulassen“ ausgewählt ist. • Nur geschäftlicher Weitere Informationen zu BlackBerry Protect finden Sie in der Bereich BlackBerry Protect-Hilfe. BlackBerry 10-Geräte löschen alle Daten aus den geschäftlichen und persönlichen Bereichen, wenn ein Löschen aller Daten eines Geräts stattfindet. Datenfluss: Löschen aller Daten Wenn alle Daten von einem BlackBerry 10-Gerät gelöscht werden, führt das Gerät die folgenden Aktionen aus: 1. Das BlackBerry 10 OS überschreibt den Gerätespeicher mit Nullen. 2. Das BlackBerry 10 OS führt einen sicheren TRIM-Vorgang für einen Abschnitt des Gerätespeichers aus. Aufgrund des sicheren TRIM-Vorgangs löscht der Flash-Speicherchip den gesamten Speicher. Vollständiges Löschen von Gerätedaten auf Geräten mit iOS, OS X, Android oder Windows Die Geräte löschen alle Daten im Gerätespeicher, wenn eines der folgenden Ereignisse eintritt: Ereignis Beschreibung Sie senden den ITAdministrationsbefehl „Alle Gerätedaten löschen“ (iOS-, Android- oder Windows-Geräte) oder „Alle Desktopdaten löschen“ (OS X-Geräte) an ein Gerät. Sie können BES12 verwenden, um alle Daten von den Geräten mithilfe des ITAdministrationsbefehls „Alle Gerätedaten löschen“ oder „Alle Desktopdaten löschen“ zu löschen. Sie können diesen Befehl beispielsweise an ein Gerät senden, um ein zuvor verwendetes Gerät erneut einem Benutzer in Ihrem Unternehmen zuzuteilen oder an ein verloren gegangenes Gerät, das wahrscheinlich nicht wiedergefunden wird. Mit diesem Befehl werden alle Benutzerinformationen und App-Daten gelöscht, die auf dem Gerät gespeichert sind (einschließlich Informationen im geschäftlichen Bereich, falls 58 Verwalten der Gerätesicherheit mit BES12 Ereignis Beschreibung zutreffend), das Gerät auf die Werkseinstellungen zurückgesetzt und das Gerät aus BES12 entfernt. Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt. Weitere Informationen zum Senden dieses Befehls an Geräte: Siehe Dokumentation für Administratoren . Ein Benutzer gibt häufiger das Das Gerät löscht alle Benutzerinformationen und App-Daten, die auf dem Gerät falsche Gerätekennwort ein, als es gespeichert sind, einschließlich der Informationen im geschäftlichen Bereich, und setzt die IT-Richtlinienregeln zulassen. das Gerät auf die Werkseinstellungen zurück. Bei Geräten mit den Aktivierungsarten „Geschäftlich und persönlich – BenutzerDatenschutz (Android for Work)“ und „Geschäftlich und persönlich – BenutzerDatenschutz (Android for Work – Premium)“ wird nur das geschäftliche Profil entfernt. Ein Benutzer verwendet die Option Ein Benutzer kann alle Daten auf Geräten mit iOS oder höher mithilfe der Option „Alle „Alle Inhalte und Einstellungen Inhalte und Einstellungen löschen“ auf dem Gerät löschen. löschen“ auf einem Gerät mit iOS. Vollständiges Löschen geschäftlicher Daten von BlackBerry 10Geräten Um die Daten Ihres Unternehmens auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten zu schützen, löschen diese Geräte nur Geschäftsdaten, wenn eines der folgenden Ereignisse eintritt: Ereignis Beschreibung Sie senden den IT-Administrationsbefehl „Nur Geschäftsdaten löschen“ an ein Gerät. Sie können BES12 verwenden, um alle geschäftlichen Daten von den Geräten mithilfe des IT-Administrationsbefehls „Nur Geschäftsdaten löschen“ zu löschen. Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät verloren geht oder gestohlen wird. Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät aus BES12 entfernt. Die Informationen im geschäftlichen Bereich werden gelöscht und der geschäftliche Bereich wird vom Gerät entfernt. 59 Verwalten der Gerätesicherheit mit BES12 Ereignis Beschreibung Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem es entfernt wurde, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt. Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im geschäftlichen Bereich gelöscht wurden. Weitere Informationen zum Senden dieses IT-Verwaltungsbefehls finden Sie in der Dokumentation für Administratoren. Ein Benutzer gibt das Kennwort für den geschäftlichen Bereich öfter falsch ein, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist. Die Informationen im geschäftlichen Bereich werden gelöscht und der geschäftliche Bereich wird vom Gerät entfernt. Ein Gerät stellt über einen längeren Zeitraum keine Verbindung zum Netzwerk Ihres Unternehmens her, als in der ITRichtlinienregel „Geschäftlichen Bereich ohne Netzwerkverbindung löschen“ zugelassen ist. Sie können die IT-Richtlinienregel „Geschäftlichen Bereich ohne Netzwerkverbindung löschen“ verwenden, um die Anzahl der Stunden festzulegen, die vergehen müssen, ohne dass ein Gerät keine Verbindung zum Netzwerk Ihres Unternehmens herstellt, bevor das Gerät alle Daten im geschäftlichen Bereich löscht. Wenn das Kennwort für den geschäftlichen Bereich und das Gerätekennwort eines Gerätes unterschiedlich sind, werden alle Daten, einschließlich des geschäftlichen Bereichs, vom Gerät gelöscht, wenn ein Benutzer das Gerätekennwort öfter falsch eingibt, als in der IT-Richtlinienregel „Maximale Kennwortversuche“ zugelassen ist. Sie können diese Regel verwenden, um das Gerät zu veranlassen, die Daten im geschäftlichen Bereich zu löschen, wenn das Gerät keine Updates oder Befehle von BES12 enthält. Ein Gerät sendet einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Nur Geschäftsdaten löschen“ eingestellt. Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Wenn ein Integritätsalarm auftritt und „Nur Geschäftsdaten löschen“ als Erzwingungsaktion eingestellt wird, wird der geschäftliche Bereich gelöscht. Ein BlackBerry Balance-Gerät senden einen Integritätsalarm an BES12, und als Erzwingungsaktion wird „Alle Gerätedaten löschen“ eingestellt. Wenn das BlackBerry 10 OS ein Problem mit der Integrität eines Gerätes erkennt, warnt es BES12. Wenn ein Integritätsalarm auf einem BlackBerry Balance-Gerät auftritt und „Alle Gerätedaten löschen“ als Erzwingungsaktion eingestellt wird, wird nur der geschäftliche Bereich gelöscht. Ein Benutzer verwendet die Option „Geschäftlichen Bereich löschen“ in den Benutzer können den geschäftlichen Bereich auch mithilfe der Option „Geschäftlichen Bereich löschen“ in den „BlackBerry Balance“-Einstellungen von ihren Geräten löschen. 60 Verwalten der Gerätesicherheit mit BES12 Ereignis Beschreibung Einstellungen „BlackBerry Balance“ auf dem Gerät. Wenn Sie oder ein Benutzer alle Daten aus dem geschäftlichen Bereich auf einem Gerät löschen, weist das BlackBerry 10 OS das Dateisystem an, alle Verzeichnisse und Dateien im geschäftlichen Dateisystem zu löschen. Alle Dateien, die im Dateisystem verbleiben, bleiben verschlüsselt. Die Entschlüsselungsschlüssel sind für das Dateisystem nicht zugänglich. Geschäftliche Daten wurden vollständig von BlackBerry 10-Geräten gelöscht Wenn nur die geschäftlichen Daten von einem BlackBerry Balance-Gerät oder einem regulierten BlackBerry Balance-Gerät gelöscht wurden, verbleiben die gesamten persönlichen Daten auf dem Gerät. Sie können dies beispielsweise tun, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet. In der folgenden Tabelle werden Beispiele von Daten aufgelistet, die entfernt werden, wenn alle Daten aus dem geschäftlichen Bereich eines Geräts gelöscht werden: Objekt Beschreibung Geschäftliche E-Mail-Nachrichten • E-Mail-Nachrichten, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden, und E-Mail-Nachrichten, die der Benutzer von seinem geschäftlichen EMail-Konto sendet • Entwürfe von E-Mail-Nachrichten, die der Benutzer mit seinem geschäftlichen EMail-Konto erstellt • Anlagen, die an das geschäftliche E-Mail-Konto des Benutzers gesendet werden, und Anlagen, die der Benutzer von seinem geschäftlichen E-Mail-Konto sendet • Anlagen, die der Benutzer im geschäftlichen Bereich speichert Anlagen Kalendereinträge Kalendereinträge, die der Benutzer mithilfe seines Geschäftskalenders erstellt Kontakte Kontakte, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert BlackBerry Remember Alle Aufgaben und Notizen, die BES12 mit dem geschäftlichen E-Mail-Konto des Benutzers synchronisiert Browser Alle geschäftlichen Browserdaten Dateien Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen und die er heruntergeladen hat IT-Richtlinie IT-Richtlinie, die Ihrem Unternehmen zugewiesen ist 61 Verwalten der Gerätesicherheit mit BES12 Objekt Beschreibung Schlüssel zum Gerätetransport Verweise auf den Schlüssel zum Gerätetransport, der das Gerät von der Kommunikation mit BES12 abhält Geschäftliche Apps Geschäftliche Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat Daten geschäftlicher Apps Geschäftliche Daten sind mit den geschäftlichen Apps auf dem Gerät verknüpft Geschäftliche Wi-Fi-Profile Geschäftliche Wi-Fi-Profile auf dem Gerät Geschäftliche VPN-Profile Geschäftliche VPN-Profile auf dem Gerät Geschäftliche Daten vollständig von iOS-, OS X-, Android- und Windows-Geräten löschen Um die Daten Ihres Unternehmens auf Geräten zu schützen, löschen die Geräte alle geschäftlichen Daten, wenn Sie den ITVerwaltungsbefehl "Nur geschäftliche Daten löschen" an ein Gerät senden. Sie können diesen Befehl beispielsweise an ein persönliches Gerät senden, wenn ein Benutzer nicht mehr in Ihrem Unternehmen arbeitet, oder wenn das Gerät verloren geht oder gestohlen wird. Mit diesem Befehl werden geschäftliche Daten, einschließlich der auf dem Gerät vorhandenen IT-Richtlinie, Profile, Apps und Zertifikate, gelöscht und das Gerät wird bei Bedarf aus BES12 entfernt. Nachdem Sie diesen Befehl gesendet haben, wird eine Option zum Entfernen des Geräts aus BES12 angezeigt. Wenn das Gerät keine Verbindung mehr zu BES12 herstellen kann, können Sie das Gerät aus BES12 entfernen. Wenn das Gerät eine Verbindung zu BES12 herstellt, nachdem Sie es entfernen, werden nur die geschäftlichen Daten vom Gerät entfernt. Falls zutreffend, wird auch der geschäftliche Bereich entfernt. Ein Benutzer kann das Gerät immer noch benutzen, obwohl Daten im geschäftlichen Bereich gelöscht wurden. Weitere Informationen zum Senden dieses Befehls an Geräte finden Sie in der Dokumentation für Administratoren. Secure Work Space von Geräten mit iOS und Android löschen Wenn Sie Secure Work Space von einem Gerät löschen, müssen Sie keine zusätzlichen Schritte vornehmen, um die Wiederherstellung von Daten zu verhindern. Ohne Verschlüsselungsschlüssel ist der Zugriff auf wiederhergestellte Daten kryptografisch unmöglich. Wenn der geschäftliche Bereich gelöscht wird und das Gerät zum Zeitpunkt der Löschung verbunden war, werden auch Daten des geschäftlichen Bereichs von Medienkarten gelöscht. Beim Löschen von Secure Work Space werden geschäftliche Daten vollständig gelöscht. Wenn Sie Secure Work Space von einem iOS- und Android-Gerät löschen, werden alle geschäftlichen Daten gelöscht. 62 Verwalten der Gerätesicherheit mit BES12 In der folgenden Tabelle werden Beispiele für Daten aufgeführt, die entfernt werden, wenn der geschäftliche Bereich auf Geräten gelöscht wird: Objekt Beschreibung Geschäftliche E-Mail-Nachrichten • E-Mail-Nachrichten, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet werden • E-Mail-Nachrichten, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet • Entwürfe von E-Mail-Nachrichten, die der Benutzer mithilfe der E-Mail-App im geschäftlichen Bereich erstellt • Anlagen, die an die E-Mail-App des Benutzers im geschäftlichen Bereich gesendet werden • Anlagen, die der Benutzer von der E-Mail-App im geschäftlichen Bereich sendet • Anlagen, die der Benutzer im geschäftlichen Bereich speichert Anlagen Kalendereinträge Kalendereinträge, die der Benutzer mithilfe der Kalender-App im geschäftlichen Bereich erstellt Kontakte Kontakte, die BES12 mit der Kontakte-App des Benutzers im geschäftlichen Bereich synchronisiert Aufgaben und Notizen Alle Aufgaben und Notizen, die BES12 mit der Aufgaben- und Notizen-App des Benutzers im geschäftlichen Bereich synchronisiert Browser Alle Work Browser-Daten Dateien Dateien, auf die der Benutzer aus dem Netzwerk Ihres Unternehmens aus zugegriffen und die er heruntergeladen hat IT-Richtlinie IT-Richtlinie, die dem Gerät zugeordnet ist Geschäftliche Apps Bei einem iOS-Gerät: geschäftliche Apps, die der Administrator an ein Gerät gesendet hat Daten geschäftlicher Apps Bei einem iOS-Gerät: geschäftliche Daten, die im Zusammenhang mit geschäftlichen Apps auf dem Gerät stehen (z. B. gespeicherte Einstellungen) Gesicherte Apps Bei einem iOS-Gerät: gesicherte Apps, die ein Benutzer heruntergeladen und auf einem Gerät installiert hat. Bei einem Android-Gerät wird der Benutzer aufgefordert, die gesicherten Apps zu entfernen. Wenn der Benutzer die gesicherten Apps nicht entfernt, bleiben diese auf dem Gerät, der Benutzer kann sie aber nicht ausführen. 63 Verwalten der Gerätesicherheit mit BES12 Objekt Beschreibung Daten im geschäftlichen Bereich Bei einem iOS-Gerät: Daten im geschäftlichen Bereich, die im Zusammenhang mit gesicherten Apps auf dem Gerät stehen. Bei einem Android-Gerät wird der Benutzer aufgefordert, die Daten im geschäftlichen Bereich zu entfernen (z. B. gespeicherte Einstellungen). Wenn der Benutzer die Daten im geschäftlichen Bereich nicht entfernt, bleiben diese auf dem Gerät, der Benutzer kann aber nicht auf die Daten zugreifen. Profile Bei einem iOS-Gerät: VPN, Wi-Fi, E-Mail, SCEP, Zertifizierungsstellenzertifikat, freigegebenes Zertifikat, einmalige Anmeldung und Profile für verwaltete Domänen. Bei einem Android-Gerät: Wi-Fi, E-Mail, Zertifizierungsstellenzertifikat und Profile für freigegebene Zertifikate. Sicherstellen der Kompatibilität auf Geräten Sie können Kompatibilitätsprofile verwenden, um Gerätebenutzer bei der Einhaltung der in Ihrer Organisation in Bezug auf die Verwendung von BlackBerry 10-, iOS-, Android- und Windows Phone-Geräten festgelegten Standards zu unterstützen. Ein Kompatibilitätsprofil definiert die Gerätebedingungen, die in Ihrer Organisation nicht akzeptabel sind. Abhängig vom Betriebssystem und der Version können Sie festlegen, ob folgende Bedingungen zulässig sind: • Entsperrte oder gehackte Geräte • Eingeschränkte Version der Gerätesoftware ist installiert • Nicht zugewiesene oder eingeschränkte App ist installiert • Eine erforderliche App wurde nicht installiert Ein Kompatibilitätsprofil legt die folgenden Informationen fest: • Bedingungen, aufgrund derer ein Gerät mit BES12 nicht kompatibel ist • Benachrichtigungen, die die Benutzer erhalten, wenn ein Gerät die Kompatibilitätsbedingungen verletzt und die Zeitdauer, die Benutzern zur Behebung des Problems zur Verfügung steht • Eine Aktion, die vorgenommen wird, wenn der Benutzer das Problem nicht behebt, einschließlich der Einschränkung des Benutzerzugriffs auf die Ressourcen der Organisation, Löschen geschäftlicher Daten auf dem Gerät oder Löschen aller Daten auf dem Gerät Weitere Informationen über Kompatibilitätsprofile finden Sie in der Dokumentation für Administratoren. 64 Verwalten der Gerätesicherheit mit BES12 Sicherstellen der BlackBerry 10-Geräteintegrität Das BlackBerry 10 OS überprüft die Integrität des Kernels und des Dateisystems. Wenn BlackBerry 10 OS ein Problem feststellt, sendet es eine Warnmeldung an BES12. Sie können die Integritätsalarm-Einstellungen im Kompatibilitätsprofil festlegen, um die Aktionen zu steuern, die BES12 ausführen würde, wenn eine der Integritätsprüfungen fehlschlägt. Mögliche Aktionen sind z. B. das Gerät unter Quarantäne zu stellen, sodass es nicht auf geschäftliche Ressourcen zugreifen kann, den Benutzer per E-Mail oder Gerätebenachrichtigung zu benachrichtigen und Geschäftsdaten oder alle Daten des Geräts zu löschen. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Geräte mit Secure Work Space vor dem Entsperren und Hacken schützen iOS Bei iOS-Geräten schützt Secure Work Space gegen Jailbreaking. Secure Work Space führt Standardprüfungen an Pfadnamen und gemeinsamen Dateien durch sowie zusätzliche Überprüfungen, z. B. Tests, ob Privilegien eskaliert werden können, indem Prozesse verzweigt und Systemaufrufe ausgeführt werden. Gesicherte Apps führen Überprüfungen des in Verarbeitung befindlichen Speichers durch, um Jailbreak-Signaturen in Echtzeit zu identifizieren und eine robuste Verteidigung gegen alle Entsperrformen bereitzustellen. Überprüfungen des in Verarbeitung befindlichen Speichers werden durch verschiedene Mechanismen geschützt, damit verhindert wird, dass die Algorithmen nicht eingehalten werden. Zum Beispiel werden Überprüfungen über den ganzen Code verteilt und schließen Ablenkungsmanöver und sonstige Verteidigungstaktiken ein. Jailbreak-Überprüfungen werden während der Ausführung gesicherter Apps durchgeführt. Verliert ein Benutzer ein Gerät und ein Angreifer entsperrt das Gerät, schützt die Verschlüsselung des geschäftlichen Bereichs die Daten im geschäftlichen Bereich, sodass Angriffe, bei denen z. B. Bit-Kopien von persistentem Speicher erstellt werden, nicht möglich sind. Zum Ausführen von Secure Work Space auf einem entsperrten iOS-Gerät müssen Sie den Zustand des Geräts vor dem Jailbreak-Angriff wiederherstellen. Android Betriebssystem Bei Android-Geräten verwendet der Secure Work Space die MDM-APIs des Geräteherstellers, um herauszufinden, ob das Gerät gehackt wurde, sowie weitere Nachweismethoden, die für Secure Work Space spezifisch sind. Die Überprüfungen werden in der Reihenfolge der Wahrscheinlichkeit ausgeführt und stoppen, wenn erkannt wird, dass das Gerät gehackt wurde. Die Nachweismethoden des Geräteherstellers werden über ein Partnerprogramm lizenziert und stehen nicht öffentlich zur Verfügung. Zum Ausführen von Secure Work Space auf einem gehackten Android-Gerät müssen Sie den Zustand des Geräts vor dem Hacking-Angriff wiederherstellen. 65 Verwalten der Gerätesicherheit mit BES12 Verhindern der Installation spezifischer Apps durch die Benutzer Sie können eine Liste von iOS-, Android- und Windows Phone-Apps erstellen, die von Benutzern nicht auf ihren Geräten installiert werden sollen. Zum Beispiel können Sie Benutzer daran hindern, schädliche Apps oder Apps, die viele Ressourcen verbrauchen, zu installieren. Um eine bestimmte Aktion zu erzwingen, wenn eine gesperrte App auf einem iOS- oder Android-Gerät installiert wird, das Samsung KNOX nicht verwendet, müssen Sie ein Kompatibilitätsprofil erstellen und dieses Benutzern oder Benutzergruppen zuweisen. Das Kompatibilitätsprofil gibt an, welche Aktionen ausgeführt werden, wenn der Benutzer die gesperrte App nicht vom Gerät löscht. Wenn der Benutzer eine gesperrte App installiert, meldet das Gerät des Benutzers, dass diese App nicht kompatibel ist, und der Name der gesperrten App sowie die Aktionen, die ausgeführt werden, wenn die App nicht deinstalliert wird, werden im Kompatibilitätsbericht angezeigt. Bei Windows Phone 8.1-Geräten oder höher sowie Geräten mit Samsung KNOX müssen Sie die App lediglich dem Kompatibilitätsprofil hinzufügen und keine Kompatibilitätsaktionen festlegen. Grund dafür ist, dass der Benutzer daran gehindert wird, Apps zu installieren, die Sie dem Kompatibilitätsprofil hinzufügen. Wenn ein Benutzer versucht, eine gesperrte App zu installieren, wird eine Meldung auf dem Gerät angezeigt, dass diese App gesperrt ist und nicht installiert werden kann. Wenn eine gesperrte App bereits installiert wurde, wird diese deaktiviert. Sie müssen keine Liste mit gesperrten Apps für BlackBerry 10- und Android-Geräte mit Android for Work erstellen, da Benutzer nur von Ihnen zugelassene Apps im geschäftlichen Bereich installieren können. Wenn eine gesperrte App bereits auf einem Gerät installiert wurde, wird diese nicht deaktiviert. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Verwandte Informationen Kontrolle von persönlichen Apps auf Geräten, auf Seite 36 Bestimmen des Standorts von Geräten Sie können ein Standortdienst-Profil zum Auffinden von verlorenen oder gestohlenen iOS-, Android- und Windows 10 MobileGeräten erstellen. Sie können die aktuellen Standorte von Geräten auf einer Karte in der Verwaltungskonsole anzeigen und Benutzern ermöglichen, ihre eigenen Geräte auf einer Karte in BES12 Self-Service anzuzeigen. Bei iOS- und Android-Geräten können Sie auch den Verlauf des Gerätestandorts protokollieren. Weitere Informationen zur Standortbestimmung von Geräten finden Sie in der Dokumentation für Administratoren. Benutzer von BlackBerry 10 Geräten können auch BlackBerry Protect zum Auffinden der Geräte verwenden. Weitere Informationen zu BlackBerry Protect finden Sie in der BlackBerry Protect-Hilfe. Sie können eine IT-Richtlinienregel erstellen, die BlackBerry Protect deaktiviert. 66 Verwalten der Gerätesicherheit mit BES12 Verwenden von IT-Richtlinien für die Geräteverwaltung Eine IT-Richtlinie ist ein Regelsatz, mit dem Funktionen und die Funktionalität von Geräten eingeschränkt oder zugelassen werden. Mithilfe von IT-Richtlinienregeln können die Sicherheit und das Verhalten von Geräten verwaltet werden. Das Betriebssystem des Geräts bestimmt über die Liste der Funktionen, die mit IT-Richtlinien gesteuert werden können, und die Aktivierungsart des Geräts bestimmt, welche Regeln einer IT-Richtlinie für ein bestimmtes Gerät gelten. Es kann einem Benutzerkonto nur eine IT-Richtlinie zugewiesen werden, und die zugewiesene IT-Richtlinie wird an alle Geräte des Benutzers gesendet. Wenn Sie einem Benutzerkonto oder einer Gruppe, der ein Benutzer oder ein Gerät angehört, keine ITRichtlinie zuweisen, sendet BES12 die standardmäßige IT-Richtlinie an die Geräte des Benutzers. Sie können den IT-Richtlinien einen Rang zuweisen, um anzugeben, welche Richtlinie an die Geräte gesendet werden soll, wenn ein Benutzer oder ein Gerät Mitglied von zwei oder mehr Gruppen ist, die unterschiedliche IT-Richtlinien aufweisen, und keine der IT-Richtlinien dem Benutzerkonto direkt zugewiesen ist.Der BES12 sendet die ranghöchste IT-Richtlinie an die Geräte des Benutzers. BES12 sendet IT-Richtlinien automatisch an Geräte, wenn ein Benutzer ein Gerät aktiviert, eine zugewiesene IT-Richtlinie aktualisiert wird und wenn einem Benutzer oder einer Benutzergruppe eine andere IT-Richtlinie zugewiesen wird. Wenn ein Gerät eine neue oder aktualisierte IT-Richtlinie empfängt, wendet das Gerät die Konfigurationsänderungen nahezu in Echtzeit an. Geräte ignorieren Regeln einer IT-Richtlinie, die nicht für sie gelten. Zum Beispiel ignorieren BlackBerry 10-Geräte, die nur über einen geschäftlichen Bereich verfügen, Regeln, die nur für BlackBerry Balance-Geräte oder Geräte mit anderen Betriebssystemen gelten. Weitere Informationen über die Zuweisung und Priorisierung von IT-Richtlinien finden Sie in der Dokumentation für Administratoren. Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/. Einschränken und Zulassen von Gerätefunktionen Indem Sie IT-Richtlinienregeln konfigurieren, können Sie Gerätefunktionen oder Funktionen des geschäftlichen Bereichs einschränken oder zulassen. Die für jeden Gerätetyp zur Verfügung stehenden IT-Richtlinienregeln sind von Betriebssystem und Version des Gerätes sowie von zusätzlichen Optionen von Secure Work Space, Samsung KNOX und Android for Work abhängig. Je nach Betriebssystem des Geräts und Aktivierungsart können Sie mit IT-Richtlinienregeln Folgendes kontrollieren: • Kennwortanforderungen des Geräts und des geschäftlichen Bereichs • Gerätefunktionen wie Kamera oder Standortdienste • Verbindungen über die drahtlose Bluetooth-Technologie oder NFC • Verfügbarkeit bestimmter Apps 67 Verwalten der Gerätesicherheit mit BES12 Weitere Informationen über spezifische IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/. Steuern von BlackBerry 10-Gerätefunktionen BlackBerry 10-Geräte unterstützen eine umfangreiche Liste von IT-Richtlinienregeln zur Kontrolle der Gerätefunktionen. Zum Beispiel können folgende Funktionen auf allen BlackBerry 10-Geräten durch IT-Richtlinienregeln deaktiviert werden: • Roaming • Sprachsteuerung • Tethering und mobiler Hotspot • Rechnungen des Mobilfunkanbieters für Käufe in der BlackBerry World Auf regulierten BlackBerry Balance-Geräten und Geräten, die nur über einen geschäftlichen Bereich verfügen, können Sie eine Vielzahl von Funktionen aktivieren oder deaktivieren. Beispiel: • Standortbestimmung • Medienkarte • Kamera • UKW-Radio • Mobile Netzwerkverbindungen • Freisprechen • Sprachaufzeichnung • Wi-Fi • HDMI • NFC • Bluetooth • SMS/MMS • BBM • BlackBerry Protect Weitere Informationen über die IT-Richtlinienregeln, die diese Funktionen steuern, finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/detectLang/bes12/current/policy-reference-spreadsheet-zip/ Steuern von BlackBerry 10 OS-Software-Updates Benutzer können ihre Gerätesoftware standardmäßig durch das Herunterladen von BlackBerry 10 OS-Updates über das drahtlose Netzwerk aktualisieren. Benutzer können alle Softwareupdates herunterladen, die durch BlackBerry oder einen Dienstanbieter bereitgestellt werden. 68 Verwalten der Gerätesicherheit mit BES12 Für reglementierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können Sie eine IT-Richtlinienregel verwenden, um Benutzer auf das ausschließliche Herunterladen von sicherheitsrelevanten SoftwareUpdates über das WLAN-Netzwerk, das von BlackBerry oder dem Mobilfunkanbieter zur Verfügung gestellt wird, zu beschränken oder zu verhindern, dass Benutzer Software-Updates über das drahtlose Netzwerk herunterladen. Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. Steuerung der BlackBerry 10-Protokollsynchronisierung mit BES12 Standardmäßig synchronisieren regulierte BlackBerry Balance-Geräte und Geräte nur mit geschäftlichem Bereich Protokolldateien für BBM, Telefon, SMS, MMS, PIN und BBM Video-Chatfunktionen nicht mit dem BES12. Wenn Sie einen oder mehrere dieser Kommunikationspfade protokollieren müssen, können Sie dies mithilfe der folgenden ITRichtlinienregeln tun: • BBM-Protokolle synchronisieren • Telefonprotokolle synchronisieren • PIN-zu-PIN-Protokolle synchronisieren • SMS/MMS-Protokolle synchronisieren • Videochat-Protokolle synchronisieren Wenn Sie diese Kommunikationspfade für regulierte BlackBerry Balance-Geräte protokollieren, enthalten die Protokolldateien sowohl Geschäfts- als auch private Daten. Weitere Informationen über IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. Kontrolle von Verbindungen auf BlackBerry 10-Geräten Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig verschiedene Verbindungen herstellen. Sie können die folgenden IT-Richtlinienregeln verwenden, um Verbindungen zu steuern: • Bluetooth zulassen • Hotspot-Browser zulassen • Miracast zulassen • NFC zulassen • Vom Benutzer erstelle VPN-Profile zulassen • Wi-Fi zulassen Wenn Sie eine dieser Verbindungen auf regulierten BlackBerry Balance-Geräten nicht zulassen, wird diese sowohl für den persönlichen als auch für den geschäftlichen Bereich nicht zugelassen. Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. 69 Verwalten der Gerätesicherheit mit BES12 Übertragen von geschäftlichen Dateien von Geräten mit Bluetooth Mithilfe der drahtlosen Bluetooth-Technologie können Benutzer drahtlose Verbindungen zwischen einem BlackBerry Balanceoder einem regulierten BlackBerry Balance-Gerät und anderen Bluetooth-fähigen Geräten herstellen. Benutzer müssen eine Kopplung mit einem anderen Bluetooth-Gerät anfordern und einen Kennschlüssel verwenden, um die Kopplung einzurichten. Das Gerät zeigt den Benutzern jedes Mal eine Aufforderung an, wenn ein Bluetooth-fähiges Gerät versucht, eine Verbindung mit den Geräten herzustellen. Standardmäßig können Benutzer Dateien, Kontakte und Nachrichten aus dem geschäftlichen Bereich auf Geräten an Bluetooth-fähige Geräte, die sie erfolgreich gekoppelt haben, übertragen. Sie können die folgenden IT-Richtlinienregeln anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere Bluetooth-fähige Geräte übertragen: IT-Richtlinienregel Beschreibung Das Übertragen geschäftlicher Dateien mithilfe von BluetoothOPP oder einer Wi-Fi DirectVerbindung zulassen Geräte verwenden das Bluetooth-OPP, um andere Objekte an andere Bluetooth-fähige Geräte zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen" anwenden, um zu verhindern, dass Benutzer das Bluetooth-OPP anwenden, um geschäftliche Dateien und Objekte wie Kontakte an andere Bluetooth-fähige Geräte zu senden. Geräte verwenden außerdem das Bluetooth-OPP, um geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder Dokumente) mithilfe von NFC zu teilen. Wenn die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mithilfe einer Bluetooth-OPP oder einer Wi-Fi Direct-Verbindung zulassen" nicht aktiviert ist, können Benutzer keine geschäftlichen Dateien in einem Dateiformat teilen. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden. Übertragen von Geräte verwenden das Bluetooth-PBAP und das Bluetooth-HFP, um Kontakte an ein Geschäftskontakten mit Bluetooth- anderes Bluetooth-fähige Gerät zu senden. Sie können die IT-Richtlinienregel PBAP oder -HFP zulassen "Übertragen von geschäftlichen Kontakten über Bluetooth PBAP HFP zulassen" anwenden, um zu verhindern, dass Benutzer Bluetooth-PBAP und Bluetooth-HFP anwenden, um geschäftliche Kontakte an ein anderes Bluetooth-fähiges Gerät zu senden. Wenn Sie diese Regel nicht auswählen, können Geräte das Bluetooth-MAP auch nicht verwenden, um geschäftliche Nachrichten an ein anderes Bluetooth-fähiges Gerät zu senden. Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen Geräte verwenden Bluetooth-MAP, um Nachrichten an andere Bluetooth-fähige Geräte zu senden. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" anwenden, um zu verhindern, dass Benutzer Bluetooth-MAP verwenden, um Nachrichten vom geschäftlichen Bereich (zum Beispiel EMail-Nachrichten und Sofortnachrichten) an ein anderes Bluetooth-fähiges Gerät senden. Wenn Sie nicht die IT-Richtlinienregel "Übertragen von geschäftlichen Kontakten 70 Verwalten der Gerätesicherheit mit BES12 IT-Richtlinienregel Beschreibung mit Bluetooth-PBAP oder HFP zulassen" anwenden, können Benutzer keine geschäftlichen Nachrichten an ein anderes Bluetooth-fähiges Gerät mithilfe von Bluetooth-MAP senden, unabhängig davon, ob die IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" ausgewählt ist oder nicht. Standardmäßig kann der Benutzer bei Auswahl der IT-Richtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" geschäftliche Nachrichten an ein Bluetooth-fähiges Gerät mithilfe von Bluetooth-MAP übertragen, nachdem er einmal das Kennwort für den Eintritt in den geschäftlichen Bereich eingegeben hat. Wenn ein Benutzer den geschäftlichen Bereich jedes Mal wieder neu entsperren soll, wenn das Gerät eine Verbindung zum Bluetooth-fähigen Gerät aufbaut und bevor es geschäftliche Nachrichten mithilfe von Bluetooth-MAP übertragen kann, so wählen Sie die ITRichtlinienregel "Übertragen von geschäftlichen Nachrichten mit Bluetooth-MAP zulassen" nicht aus. Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit Bluetooth aufbauen. Steuern von Bluetooth auf Geräten Regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, können standardmäßig Bluetooth-Verbindungen herstellen. Sie verfügen über eine Reihe von Optionen zum Steuern von Bluetooth-Verbindungen und zum Steuern einiger der Kriterien, die ein Gerät verwenden muss, wenn es sich mit einem anderen Gerät verbindet. Option IT-Richtlinienregel Beschreibung Verhindern, dass ein Gerät BluetoothVerbindungen herstellt Bluetooth zulassen Wenn Sie Bluetooth-Verbindungen auf einem Gerät zulassen, kann der Benutzer Bluetooth dennoch mithilfe der Geräteeinstellungen ausschalten. Verhindern, dass ein Gerät den erkennbaren Bluetooth-Modus verwendet Erkennbaren Bluetooth-Modus zulassen Ein erkennbares Gerät kann von anderen Bluetooth-fähigen Geräten im Bereich des Geräts aufgefunden werden. Wenn Sie den erkennbaren Modus auf einem Gerät zulassen, kann der Benutzer diesen dennoch mithilfe der Geräteeinstellungen ausschalten. Verhindern, dass ein Gerät mit Bluetooth Bluetooth-Kopplung zulassen und aktiviertem erkennbaren Modus neue Verbindungen mit anderen Geräten herstellt 71 Wenn ein Gerät eine Verbindung zu anderen Geräten hergestellt hat, können Sie diese Regel verwenden, um zu Verwalten der Gerätesicherheit mit BES12 Option IT-Richtlinienregel Beschreibung verhindern, dass es eine Verbindung zu weiteren Geräten herstellt. Verhindern, dass ein Gerät kurze Kennschlüssel annimmt Eine Mindestlänge für den BluetoothKennschlüssel durchsetzen Standardmäßig kann ein Gerät eine Verbindung zu einem anderen Gerät herstellen, wenn der Kennschlüssel, den das andere Gerät anfordert oder bereitstellt, weniger als 8 Ziffern beträgt. Die Mindestlänge des Mindestlänge des BluetoothVerschlüsselungsschlüssels steuern, den Verschlüsselungsschlüssels Geräte zur Verschlüsselung von Bluetooth-Verbindungen verwenden Standardmäßig muss ein Gerät eine Mindestlänge des Verschlüsselungsschlüssels von 1 Byte verwenden. Voraussetzen, dass Geräte den Modus für den numerischen Vergleich nutzen, um eine Verbindung zu einem anderen Gerät herzustellen Wenn Geräte Bluetooth-SSP verwenden, um eine Verbindung zu einem anderen Gerät herzustellen, auf dem BluetoothVersion 2.1 und höher ausgeführt wird, können Sie voraussetzen, dass Geräte den numerischen Vergleich für die Verbindung verwenden. Numerischen Bluetooth-SSP-Vergleich erzwingen Standardmäßig müssen Geräte den Modus für den numerischen Vergleich nicht verwenden. Steuern, welche Bluetooth-Profile verfügbar sind • • • • Geräte nutzen Bluetooth-Profile, um mit anderen Bluetooth-fähigen Geräten zu Bluetooth AVRCP zulassen kommunizieren, und führen Aufgaben Bluetooth-Kontaktübertragung aus, wie z. B. Audio-Dateien auf andere über PBAP zulassen Geräte streamen oder anderen Geräten Bluetooth-Dateiübertragung erlauben, auf bestimmte Datentypen über OBEX zulassen zuzugreifen. Bluetooth A2DP zulassen • Bluetooth-HFP zulassen • Bluetooth-MAP zulassen • Bluetooth-PAN-Profil zulassen • Bluetooth-SPP zulassen Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. 72 Verwalten der Gerätesicherheit mit BES12 Verwalten von Datentransfer auf ein Gerät/von einem Gerät mithilfe von NFS Dateien, die BlackBerry Balance- und regulierte BlackBerry Balance-Geräte von anderen Geräten mithilfe von NFS empfangen, werden im Allgemeinen als persönliche Daten klassifiziert. Wenn jedoch eine geschäftliche App ein für die geschäftliche APP spezifisches NFC-Tagformat unterstützt, werden die von einem Gerät empfangenen Dateien mit diesem NFC-Tag als geschäftliche Daten klassifiziert. Standardmäßig können Geräte NFC verwenden, um geschäftliche Dateien zu anderen NFC-fähigen Geräten zu übertragen. Sie können zulassen oder verhindern, dass Benutzer geschäftliche Dateien in einem Dateiformat (zum Beispiel Bilder oder Dokumente) mithilfe von NFC teilen, indem Sie die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien mit Bluetooth OPP zulassen" anwenden. Unabhängig davon, wie diese IT-Richtlinienregel festgelegt wurde, können Geräte NFC verwenden, um bestimmte MIME- oder URI-Dateitypen zu senden, wie zum Beispiel Webadressen und Telefonnummern an andere NFCfähige Geräte. Sie können die IT-Richtlinienregel "Übertragen von geschäftlichen Dateien über NFC zulassen" auch anwenden, um zu verhindern, dass Benutzer geschäftliche Dateien an andere NFC-fähige Geräte über NFC senden. Sie können auch verhindern, dass Benutzer mit regulierten BlackBerry Balance-Geräten Verbindungen mit NFC aufbauen. Verwalten, wie Geräte Smartcards verwenden Sie können die folgenden IT-Richtlinienregeln verwenden, um zu steuern, wie Geräte Smartcards verwenden. Die verfügbaren IT-Richtlinienregeln hängen von der Aktivierungsart ab: IT-Richtlinienregel Zwei-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung nur für geschäftlichen Bereich Anforderungen Sie können diese Regel verwenden, um zu bestimmen, ob Zwei-Faktor-Authentifizierung erforderlich, zugelassen oder nicht zugelassen sein soll. • Reguliertes BlackBerry BalanceGerät • Gerät, das nur über einen geschäftlichen Bereich verfügt • BlackBerry 10 OS (Version 10.3 und höher) • Über diese IT-Richtlinienregel können Sie angeben, ob Benutzer auch das Kennwort für den geschäftlichen Bereich eingeben Gerät, das nur über einen müssen, um den geschäftlichen Bereich zu geschäftlichen Bereich verfügt entsperren, oder ob dafür nur die Smartcard BlackBerry 10 OS (Version 10.3 und und das Smartcard-Kennwort erforderlich höher) sind. • • Zwei-Faktor-Authentifizierung für geschäftliche Zwecke zuweisen Beschreibung • Reguliertes BlackBerry BalanceGerät Reguliertes BlackBerry BalanceGerät 73 Wenn Zwei-Faktor-Authentifizierung eingeschaltet wird, können Sie diese Regel verwenden, um zu bestimmen, ob Zwei- Verwalten der Gerätesicherheit mit BES12 IT-Richtlinienregel Caching von SmartcardKennwörtern Kennworteingabe für Smartcard Anforderungen • BlackBerry 10 OS (Version 10.3 und Faktor-Authentifizierung verwendet werden kann, um den geschäftlichen Bereich, das höher) Gerät oder beides zu entsperren. • BlackBerry Balance-Geräte • Reguliertes BlackBerry BalanceGerät • Gerät, das nur über einen geschäftlichen Bereich verfügt • BlackBerry 10 OS (Version 10.3 und höher) • Sie können diese Regel verwenden, um zu bestimmen, ob ein Gerät die Reguliertes BlackBerry BalanceKennworteingabe für Smartcard mit ZweiGerät Faktor-Authentifizierung verwenden kann. Die Gerät, das nur über einen Kennworteingabe für Smartcard ermöglicht geschäftlichen Bereich verfügt einem Benutzer, numerische Kennwörter auf BlackBerry 10 OS (Version 10.3 und dem Gerät einzugeben, ohne die Alt-Taste zu höher) drücken, und vervollständigt das Feld für das Gerätekennwort oder für das Kennwort für den geschäftlichen Bereich automatisch, wenn das Gerätekennwort oder das Kennwort für den geschäftlichen Bereich und das Smartcard-Kennwort identisch sind. • • • Sperren beim Entfernen der Smartcard Beschreibung • • • • Sie können diese Regel verwenden, um zu bestimmen, ob ein Gerät das SmartcardKennwort im Cache-Speicher speichern kann. Das zwischengespeicherte Kennwort wird im Geräte-RAM gespeichert. BlackBerry Balance-Geräte Sie können diese Regel verwenden, um zu bestimmen, ob ein Gerät oder der Reguliertes BlackBerry Balancegeschäftliche Bereich auf einem Gerät Gerät gesperrt wird, wenn ein Benutzer die Gerät, das nur über einen Smartcard aus einem unterstützen Smart geschäftlichen Bereich verfügt Card Reader entfernt oder einen unterstützten BlackBerry 10 OS (Version 10.3 und Smart Card Reader vom Gerät trennt. höher) BlackBerry Balance-Geräte Weitere Informationen über diese IT-Richtlinienregeln finden Sie in der Richtlinien-Referenztabelle unter help.blackberry.com/ detectLang/bes12/current/policy-reference-spreadsheet-zip/. 74 Verwalten der Gerätesicherheit mit BES12 Steuern des BlackBerry Link-Zugriffs auf Geräte Die Benutzer von BlackBerry 10-Geräten können Apps und Daten mithilfe von BlackBerry Link auf einem Computer sichern und wiederherstellen. Benutzer können die gesicherten Daten auf Geräten wiederherstellen, nachdem die Gerätesoftware aktualisiert wurde oder wenn Probleme auftreten, die eine Wiederherstellung der Informationen erforderlich machen. Benutzer können die Daten auf dem gleichen Gerät wiederherstellen oder an ein anderes Gerät übertragen. Die Daten werden verschlüsselt und auf den Computern der Benutzer gespeichert. Sie können die erforderliche Verschlüsselungsschlüssel in BES12 generieren, undBES12 übermittelt die Schlüssel an die Geräte. Auf BlackBerry Balance-Geräten und regulierten BlackBerry Balance-Geräten können der geschäftliche Bereich und der persönliche Bereich gesichert und wiederhergestellt werden. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, kann der geschäftliche Bereich gesichert werden (da es nur den einen Bericht gibt). Auf BlackBerry Balance- und regulierten BlackBerry Balance-Geräten können Sie mit der IT-Richtlinienregel „Sichern und Wiederherstellen des geschäftlichen Bereichs zulassen“ verhindern, dass Benutzer Apps und Daten im geschäftlichen Bereich der Geräte sichern und wiederherstellen. Wenn diese Regel nicht aktiviert ist, wird die Option zum Sichern und Wiederherstellen der Inhalte des geschäftlichen Bereichs in BlackBerry Link deaktiviert. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, und regulierten BlackBerry Balance-Geräten können Sie mit der IT-Richtlinienregel „Sichern und Wiederherstellen des geschäftlichen Bereichs zulassen“ verhindern, dass Benutzer Apps und Daten auf dem Gerät sichern und wiederherstellen. Wenn diese Regel nicht aktiviert ist, wird die Option zum Sichern und Wiederherstellen der Inhalte des Geräts in BlackBerry Link deaktiviert. Auf Geräten, die nur über einen geschäftlichen Bereich verfügen, und regulierten BlackBerry Balance-Geräten, können Sie mit der IT-Richtlinienregel „Zulassen, dass Computer auf Gerät zugreift“ verhindern, dass Computer auf Inhalte von Geräten über eine USB-Verbindung zugreifen oder die Option zur Freigabe von Dateien mit einer Wi-Fi-Verbindung verwenden können. Wenn Sie diese Regel auf „Nicht zulassen“ setzen, können Benutzer mit ihren Geräten keine Verbindung zu BlackBerry Link herstellen. Weitere Informationen über die Verwendung von BES12 zum Generieren von Verschlüsselungsschlüsseln finden Sie in der Dokumentation für Administratoren. Weitere Informationen über BlackBerry Link- und BlackBerry 10-Geräte finden Sie im Sicherheitshandbuch für BlackBerry 10-Geräte. 75 Wie BES12 Ihre Daten während der Übertragung schützt Wie BES12 Ihre Daten während der Übertragung schützt 4 Daten, die zwischen Geräten und den Ressourcen Ihres Unternehmens hin- und hergesendet werden, werden je nach Datenpfad mit verschiedenen Methoden geschützt. Zwischen den Mail-, Web- und Inhaltsservern Ihres Unternehmens und Geräten übertragene Daten können direkt über ein geschäftliches VPN, ein geschäftliches Wi-Fi-Netzwerk oder in Abhängigkeit von der Aktivierungsart und den gewählten Optionen des Geräts auch über BES12 und die BlackBerry Infrastructure gesendet werden. Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile oder IT-Administrationsbefehle und erforderliche Apps aus Ihrem Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist. Unabhängig vom Typ und Pfad der Daten werden die Daten verschlüsselt und über gegenseitig authentifizierte Verbindungen geleitet. Die Daten können nicht von der BlackBerry Infrastructure oder an einem anderen Punkt auf dem Übertragungsweg entschlüsselt werden. Schutz von Daten während der Übertragung über die BlackBerry Infrastructure Daten, die zwischen Geräten und Ihren Ressourcen übertragen werden, durchlaufen die BlackBerry Infrastructure unter den folgenden Umständen: • BES12 sendet interne Apps und alle Geräteverwaltungsdaten, wie IT-Richtlinien, Profile und ITAdministrationsbefehle, durch die BlackBerry Infrastructure an die Geräte, selbst wenn diese mit einem geschäftlichen VPN oder einem Wi-Fi-Geschäftsnetzwerk verbunden sind. • Die zwischen einem Gerät und dem Mail-, Web- oder Inhaltsserver Ihres Unternehmens übertragenen Daten durchlaufen BES12 und die BlackBerry Infrastructure nur dann, wenn BlackBerry Secure Connect Plus oder die Enterprise-Konnektivität eingeschaltet sind und das Gerät nicht mit einem geschäftlichen VPN oder einem Wi-FiGeschäftsnetzwerk verbunden ist. Enterprise-Konnektivität ist für BlackBerry 10-Geräte immer aktiviert und kann für Geräte mit Secure Work Space konfiguriert werden.Geräte mit BlackBerry 10, iOS 9 und höher mit „MDM-Steuerelemente“-Aktivierungen, Samsung KNOX Workspaceund Android for Work-Geräte mit „Android for Work – Premium“-Aktivierungen können BlackBerry Secure Connect Plus verwenden. 76 Wie BES12 Ihre Daten während der Übertragung schützt Schützen von Geräteverwaltungsdaten, die zwischen BES12 und Geräten gesendet werden Wenn BES12 Geräteverwaltungsdaten wie IT-Richtlinien, Profile, IT-Administrationsbefehle und interne Apps aus Ihrem Unternehmensnetzwerk an Geräte sendet, werden die Daten stets über die BlackBerry Infrastructure gesendet, selbst wenn das Gerät mit einem Wi-Fi-Geschäftsnetzwerk oder einem geschäftlichen VPN verbunden ist. Während des Aktivierungsvorgangs wird eine TLS-Verbindung mit gegenseitiger Authentifizierung zwischen BES12 und den BlackBerry 10-, Windows 10- sowie OS X-Geräten hergestellt. BES12 baut die gegenseitig authentifizierte TLS-Verbindung mit der Good for BES12-App auf den iOS-Geräten oder dem BES12 Client auf Android- oder Windows Phone 8.x-Geräten auf. Wenn BES12 Konfigurationsinformationen an ein Gerät senden muss und BES12 und das Gerät eine TLS-Verbindung zum Schützen der Daten verwenden. Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 Wenn BES12 Geräteverwaltungsdaten an Geräte sendet und Geräte Daten an BES12 zurücksenden, werden die Daten stets über die BlackBerry Infrastructure übermittelt. 77 Wie BES12 Ihre Daten während der Übertragung schützt Verwendete Verschlüsselungsarten zum Senden von Geräteverwaltungsdaten an Geräte Für das Senden von Geräteverwaltungsdaten zwischen Geräten und BES12 werden verschiedene Verschlüsselungsarten verwendet. Authentifizierung von BES12 bei der BlackBerry Infrastructure Zum Schutz der Daten während der Übertragung zwischen BES12 und der BlackBerry Infrastructure ist eine gegenseitige Authentifizierung von BES12 und BlackBerry Infrastructure vor der Übertragung der Daten erforderlich.Je nach den gewählten Verbindungsoptionen verwenden BES12 und die BlackBerry Infrastructure je nach Typ der gesendeten Daten unterschiedliche Authentifizierungsmethoden: • Wenn BES12 Geräteverwaltungsdaten an ein beliebiges Gerät sendet oder geschäftliche Daten von Mail-, Web-, oder Inhaltsservern Ihres Unternehmens über Enterprise-Konnektivität an Secure Work Space-Geräte sendet, nutzen BES12 und BlackBerry Infrastructure eine gegenseitig authentifizierte TLS-Verbindung, die AES-256 zum Schutz der Daten beim Transport verwendet. • Wenn BES12 Geschäftsdaten vom Mail-, Web- oder Inhaltsserver Ihres Unternehmens an BlackBerry 10-Geräte mittels Enterprise-Konnektivität über die BlackBerry Infrastructure sendet, verwendet BES12 SRP zur Authentifizierung bei und Verbindung mit der BlackBerry Infrastructure. • Wenn BES12 geschäftliche Daten von Mail-, Web-, oder Inhaltsservern Ihres Unternehmens über BlackBerry Secure Connect Plus an BlackBerry 10-, iOS-, Samsung KNOX Workspace- oder Android for Work-Geräte sendet, verwendet BES12 SRP für die Authentifizierung mit der BlackBerry Infrastructure und stellt dann einen sicheren IP-Tunnel mit DTLS zwischen BES12 und dem Gerät her. 78 Wie BES12 Ihre Daten während der Übertragung schützt Nachdem BES12 und die BlackBerry Infrastructure eine SRP-Verbindung hergestellt haben, baut BES12 eine permanente TCP/IP-Verbindung über TCP-Port 3101 auf, über die Daten an die BlackBerry Infrastructure gesendet werden können. SRP ist ein proprietäres Punkt-zu-Punkt-Protokoll, das über TCP/IP ausgeführt wird. BES12 verwendet SRP zum Kontaktieren der BlackBerry Infrastructure und zum Herstellen einer Verbindung. Wenn BES12 und die BlackBerry Infrastructure eine Verbindung herstellen, führen sie die folgenden Aktionen aus: • Gegenseitige Authentifizierung • Austausch von Konfigurationsinformationen • Senden und Empfangen von Daten Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geräteverwaltungsdaten Dieser Datenfluss gilt auch für das Senden von geschäftlichen Daten mithilfe der Enterprise-Konnektivität an Secure Work Space-Geräte. 1. BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung. 2. Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12. 3. BES12 führt die folgenden Aktionen aus: 4. • Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde • Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung • Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern Die BlackBerry Infrastructure überprüft den von BES12 gesendeten SRP-Bezeichner und -Authentifizierungsschlüssel und führt eine der folgenden Aktionen aus: • Wenn die Anmeldeinformationen gültig sind, wird eine Bestätigung an BES12 gesendet, um den Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren • Wenn die Anmeldedaten nicht gültig sind, wird der Authentifizierungsvorgang gestoppt und die SRP-Verbindung geschlossen. Datenfluss: Authentifizieren von BES12 bei der BlackBerry Infrastructure beim Senden von Geschäftsdaten an Geräte 79 Wie BES12 Ihre Daten während der Übertragung schützt 1. BES12 stellt eine Verbindung zur BlackBerry Infrastructure her und initiiert eine TLS-Verbindung. 2. Die BlackBerry Infrastructure sendet ein Authentifizierungszertifikat an BES12. 3. BES12 führt die folgenden Aktionen aus: • Überprüft, ob das Authentifizierungszertifikat von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde • Überprüft den Namen des Servers in der BlackBerry Infrastructure zum Aufbau der TLS-Verbindung • Sendet ein Datenpaket, das seinen eindeutigen SRP-Bezeichner und -Authentifizierungsschlüssel enthält, an die BlackBerry Infrastructure, um den SRP-Bezeichner anzufordern 4. Die BlackBerry Infrastructure sendet eine zufällige Challenge-Zeichenfolge an BES12. 5. BES12 sendet eine Challenge-Zeichenfolge an die BlackBerry Infrastructure. 6. Die BlackBerry Infrastructure hashcodiert die von BES12 empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel mittels HMAC und dem SHA-1-Algorithmus. Die BlackBerry Infrastructure sendet den resultierenden 20-Byte-Wert als Challenge-Antwort an BES12. 7. BES12 hashcodiert die von der BlackBerry Infrastructure empfangene Challenge-Zeichenfolge mit dem SRPAuthentifizierungsschlüssel und sendet das Ergebnis als Challenge-Antwort an die BlackBerry Infrastructure. 8. Die BlackBerry Infrastructure führt eine der folgenden Aktionen durch: • Akzeptiert die Challenge-Antwort und sendet eine Bestätigung an den BES12, um den Authentifizierungsprozess abzuschließen und eine authentifizierte SRP-Verbindung zu konfigurieren • Lehnt die Challenge-Antwort ab Wenn die BlackBerry Infrastructure die Challenge-Antwort ablehnt, ist der Authentifizierungsprozess nicht erfolgreich. Die BlackBerry Infrastructure und der BES12 schließen die SRP-Verbindung. Wenn BES12 fünfmal innerhalb einer Minute den gleichen SRP-Authentifizierungsschlüssel und die gleiche SRP-ID zum Herstellen (und anschließenden Trennen) einer Verbindung mit der BlackBerry Infrastructure verwendet, deaktiviert die BlackBerry Infrastructure die SRP ID, um zu verhindern, dass sie von einem Angreifer zur Schaffung von Bedingungen für einen Denial-of-Service (DoS)-Angriff missbraucht werden kann. 80 Wie BES12 Ihre Daten während der Übertragung schützt Wie Geräte eine Verbindung zur BlackBerry Infrastructure herstellen Geräte und die BlackBerry Infrastructure senden sich gegenseitig alle Daten über eine TLS-Verbindung zu. Die TLS-Verbindung verschlüsselt die Daten, die von den Geräten und der BlackBerry Infrastructure hin und her gesendet werden. Wenn ein Angreifer versucht, sich als die BlackBerry Infrastructure auszugeben, verhindern die Geräte den Aufbau der Verbindung. Die Geräte verifizieren, ob der öffentliche Schlüssel des TLS-Zertifikats für die BlackBerry Infrastructure mit dem privaten Schlüssel des Stammzertifikats übereinstimmt, das während der Herstellung auf den BlackBerry 10-Geräten vorinstalliert wird und das auf anderen Geräten während des Aktivierungsprozesses installiert wird. Wenn ein Benutzer ein ungültiges Zertifikat akzeptiert, kann die Verbindung nur dann hergestellt werden, wenn das Gerät auch mit einer gültigen BES12-Instanz authentifiziert werden kann. Verschlüsselung der BlackBerry Infrastructure-Verbindung Bei einer BlackBerry Infrastructure-Verbindung stellt ein Gerät über einen beliebigen drahtlosen Zugriffspunkt, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und den BES12 eine Verbindung zu den Ressourcen Ihres Unternehmens her. Wi-Fi-Verschlüsselung wird nur verwendet, wenn der drahtlose Zugriffspunkt für die Verwendung der Verschlüsselung eingerichtet ist. Datenfluss: Herstellen einer TLS-Verbindung zwischen der BlackBerry Infrastructure und einem Gerät 1. Ein Gerät sendet eine Anforderung zum Herstellen einer TLS-Verbindung an die BlackBerry Infrastructure. 2. Die BlackBerry Infrastructure sendet ihr TLS-Zertifikat an das Gerät. 81 Wie BES12 Ihre Daten während der Übertragung schützt 3. Das Gerät überprüft das TLS-Zertifikat mit einem Stammzertifikat, das auf dem Gerät während der Fertigung oder des Aktivierungsprozesses vorinstalliert wurde. 4. Das Gerät stellt die TLS-Verbindung her. Verbinden von Geräten mit Ihren Ressourcen BlackBerry 10-Geräte, Geräte mit Secure Work Space, bei denen Enterprise-Konnektivität aktiviert ist, und iOS-Geräte mit Samsung KNOX Workspace oder Android for Work können sich über BlackBerry Secure Connect Plus über mehrere Kommunikationsmethoden mit Ihren Unternehmensressourcen (z. B. Mail-Server, Web-Server und Inhaltsserver) verbinden. Standardmäßig versuchen die Geräte, mithilfe der folgenden Kommunikationsmethoden eine Verbindung zu den Ressourcen Ihres Unternehmens herzustellen. Der Reihe nach: 1. Geschäftliche VPN-Profile, die Sie konfigurieren 2. Geschäftliche Wi-Fi-Profile, die Sie konfigurieren 3. BlackBerry Infrastructure und BES12 4. Persönliche VPN- oder Wi-Fi-Einstellungen, die ein Benutzer auf dem Gerät konfiguriert Standardmäßig können geschäftliche Apps auf den Geräten ebenfalls jede dieser Kommunikationsmethoden verwenden, um auf die Ressourcen in Ihrer Unternehmensumgebung zuzugreifen. 82 Wie BES12 Ihre Daten während der Übertragung schützt Schutz von Daten während der Übertragung zwischen BlackBerry 10 Geräten und Ihren Ressourcen Bevor BES12 oder ein BlackBerry 10-Gerät Daten über die BlackBerry Infrastructure zwischen dem Gerät und dem Mail-, Weboder Inhaltsserver Ihres Unternehmens sendet, komprimiert er bzw. es die Daten, verschlüsselt sie mithilfe von Nachrichtenschlüsseln und verschlüsselt die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts. Wenn BES12 oder ein Gerät die Daten empfängt, entschlüsselt es die Nachrichtenschlüssel mithilfe des Transportschlüssels des Geräts und entschlüsselt und dekomprimiert die Daten. Dieser Prozess wird als BlackBerry-Transportschichtverschlüsselung bezeichnet. Daten, die zwischen Geräten und den Servern Ihres Unternehmens übertragen und über die TCP/IP-Verbindung zwischen BES12 und BlackBerry Infrastructure gesendet werden, sind sicher, da die Daten an keinem Zwischenpunkt zwischen BES12 und dem Gerät erneut entschlüsselt und verschlüsselt werden. Kein Datenverkehr, der von Geräten über die BlackBerry Infrastructure gesendet wird, kann Ihre Unternehmensressourcen erreichen, solange BES12 die Daten nicht mit einem gültigen Transportschlüssel für das Gerät entschlüsseln kann. BES12 und die Geräte verwenden AES-256 im CBC-Modus als symmetrischen Algorithmus für die BlackBerryTransportschichtverschlüsselung. Schlüssel zum Gerätetransport Der Transportschlüssel des Geräts verschlüsselt die Nachrichtenschlüssel, durch die die Daten bei der Übertragung zwischen den Unternehmensressourcen und den BlackBerry 10-Geräten, die über BES12 und die BlackBerry Infrastructure gesendet werden, geschützt werden. BES12 und ein Gerät generieren den Transportschlüssel des Geräts, wenn ein Benutzer das Gerät aktiviert. Der Wert des Transportschlüssels des Geräts ist nur BES12 und dem Gerät bekannt. Datenpakete, deren Format nicht erkannt wird, oder deren Gerätetransportschlüssel, durch den das Datenpaket geschützt wird, nicht erkannt wird, werden abgelehnt. Geräte speichern ihre Transportschlüssel in einer Schlüsselspeicherdatenbank im Flash-Speicher. Die Schlüsselspeicherdatenbank verhindert, dass Angreifer die Gerätetransportschlüssel auf einen Computer kopieren können, indem sie versuchen, eine Sicherung davon abzulegen. Angreifer können keine Schlüsseldaten aus dem Flash-Speicher extrahieren. Generieren des Gerätetransportschlüssels für ein Gerät Wenn ein Benutzer ein BlackBerry 10-Gerät aktiviert, sendet das Gerät eine CSR an BES12. BES12 erstellt anhand der CSR ein Client-Zertifikat, signiert das Client-Zertifikat mit seinem Verwaltungsstammzertifikat des Unternehmens und sendet das ClientZertifikat und das Verwaltungsstammzertifikat des Unternehmens an das Gerät. Um die Verbindung zwischen dem Gerät und BES12 während des Zertifikataustauschs zu schützen, erstellen das Gerät und BES12 mithilfe des Aktivierungskennworts und der EC-SPEKE einen kurzlebigen symmetrischen Schlüssel. Sobald der Zertifikataustausch abgeschlossen ist, stellen das Gerät und BES12 unter Verwendung des Client-Zertifikats und des Server-Zertifikats eine gegenseitig authentifizierte TLS-Verbindung her. Das Gerät verifiziert das Server-Zertifikat mithilfe des Verwaltungsstammzertifikats des Unternehmens. 83 Wie BES12 Ihre Daten während der Übertragung schützt Um den Transportschlüssel des Geräts zu generieren, verwenden das Gerät und BES12 die authentifizierten, langfristig geltenden öffentlichen Schlüssel, die mit dem Clientzertifikat und dem Serverzertifikat für BES12 verknüpft sind, sowie ECMQV. Das ECMQV-Protokoll wird über die gegenseitig authentifizierte TLS-Verbindung verwendet. Die in ECMQV verwendete elliptische Kurve entspricht der von NIST empfohlenen 521-Bit-Kurve. BES12 und das Gerät senden den Transportschlüssel des Geräts nicht über das drahtlose Netzwerk, wenn der Transportschlüssel des Geräts generiert wird oder Daten ausgetauscht werden. Nachrichtenschlüssel Durch Nachrichtenschlüssel wird die Integrität der Daten geschützt, die zwischen den Ressourcen Ihres Unternehmens und den BlackBerry 10-Geräten über den BES12 und die BlackBerry Infrastructure übertragen werden. BES12 und ein BlackBerry 10-Gerät generieren einen oder mehrere Nachrichtenschlüssel für alle Daten, die durch BES12 und die BlackBerry Infrastructure geleitet werden. Wenn die Daten 2 KB überschreiten und aus mehreren Datenpaketen bestehen, erstellen BES12 und das Gerät einen spezifischen Nachrichtenschlüssel für jedes Datenpaket. Jeder Nachrichtenschlüssel besteht aus Zufallsdaten, so dass Dritte den Schlüssel nicht entschlüsseln, neu erstellen oder duplizieren können. BES12 und das Gerät speichern die Nachrichtenschlüssel nicht im permanenten Speicher. Sie setzen den mit den Nachrichtenschlüsseln verknüpften Speicher frei, nachdem BES12 oder das Gerät die Daten mithilfe des Nachrichtenschlüssels entschlüsselt hat. Das Gerät verwendet Bit, die aus einer zufällig angeordneten Quelle auf dem Gerät abgerufen werden, um einen pseudozufälligen, hoch entropischen Nachrichtenschlüssel zu generieren. Datenfluss: Erstellen eines Nachrichtenschlüssels auf einem Gerät Ein BlackBerry 10-Gerät verwendet zum Generieren eines Nachrichtenschlüssels die DRBG-Funktion. Zur Erstellung eines Nachrichtenschlüssels führt das Gerät die folgenden Aktionen aus: 1. Ruft Zufallsdaten von mehreren Quellen zur Erstellung des Ausgangswerts ab. Das entsprechende Verfahren leitet das Gerät aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab 2. Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays 3. Fügt das 256-Byte-Zustandsarray in den ARC4-Verschlüsselungsalgorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren 4. Zieht 521 Byte aus dem ARC4-Byte-Zustandsarray Das Gerät zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um sicherzustellen, dass die Zeiger vor und nach dem Aufruf nicht an derselben Stelle sind und für den Fall, dass die ersten paar Byte des ARC4-Zustandsarrays nicht zufällig sind. 5. Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren 6. Verwendet den 64-Byte-Wert als Ausgangswert für die DRBG-Funktion 84 Wie BES12 Ihre Daten während der Übertragung schützt Das Gerät speichert eine Kopie des Ausgangswerts in einer Datei. Wenn das Gerät neu gestartet wird, liest das Programm den Ausgangswert in der Datei und vergleicht den gespeicherten Ausgangswert mithilfe der XOR-Funktion mit dem neuen Ausgangswert. 7. Verwendet die DRBG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AESVerschlüsselung 8. Verwendet die Pseudo-Zufallsbits, um den Nachrichtenschlüssel zu erstellen Weitere Informationen zur DRBG-Funktion finden Sie in NIST Special Publication 800-90. Datenfluss: Generieren eines Nachrichtenschlüssels in BES12 Der BES12 verwendet die DSA PRNG-Funktion zum Generieren eines Nachrichtenschlüssels. Zum Generieren eines Nachrichtenschlüssels führt der BES12 die folgenden Aktionen aus: 1. Ruft Zufallsdaten von mehreren Quellen für den Ausgangswert ab. Das entsprechende Verfahren leitet der BES12 aus der Initialisierungsfunktion des ARC4-Verschlüsselungsalgorithmus ab 2. Verwendet die Zufallsdaten zum Neuordnen des Inhalts eines 256-Byte-Zustandsarrays BES12 fordert 512 Bit Zufallsdaten aus der Microsoft Cryptographic API an, um die Zufälligkeit der Daten zu erhöhen. 3. Fügt das 256-Byte-Zustandsarray in den ARC4-Algorithmus ein, um das 256-Byte-Zustandsarray weiter zu randomisieren 4. Zieht 521 Byte aus dem 256-Byte-Zustandsarray BES12 zieht zusätzlich 9 Byte für das 256-Byte-Zustandsarray für eine Summe von 521 Byte (512 + 9 = 521), um sicherzustellen, dass die Zeiger vor und nach dem Generierungsvorgang nicht an derselben Stelle sind und für den Fall, dass die ersten paar Byte des 256-Byte-Zustandsarrays nicht zufällig sind. 5. Verwendet SHA-512, um den 521-Byte-Wert in 64 Byte zu hashcodieren 6. Verwendet den 64-Byte-Wert als Ausgangswert für die DSA PRNG-Funktion 7. Verwendet die DSA PRNG-Funktion zum Generieren von 256 Pseudo-Zufallsbits zur Verwendung in Verbindung mit der AES-Verschlüsselung 8. Verwendet die Pseudo-Zufallsbits mit AES-Verschlüsselung zum Generieren des Nachrichtenschlüssels Weitere Informationen zur DSA PRNG-Funktion erhalten Sie unter Federal Information Processing Standard – FIPS PUB 186-2. Datenfluss: Senden von Daten von BlackBerry 10-Geräten über die BlackBerry Infrastructure an Ihre Server 85 Wie BES12 Ihre Daten während der Übertragung schützt 1. Das BlackBerry 10-Gerät führt die folgenden Aktionen aus: a Komprimiert die Daten b Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln c Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts d Sendet die Daten über eine TCP-Verbindung an die BlackBerry Infrastructure 2. Die BlackBerry Infrastructure sendet die Daten über eine permanente TCP/IP-Verbindung an BES12. 3. BES12 führt die folgenden Aktionen aus: a Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts b Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln c Dekomprimiert die Daten d Sendet die Daten an den Zielserver innerhalb der Firewall Datenfluss: Senden von Daten von Ihren Servern an die BlackBerry 10-Geräte über die BlackBerry Infrastructure 1. Ein Mail-, Web- oder Inhaltsserver innerhalb der Firewall sendet die Daten an BES12. 86 Wie BES12 Ihre Daten während der Übertragung schützt 2. BES12 führt die folgenden Aktionen aus: a Komprimiert die Daten b Verschlüsselt die Daten mithilfe von Nachrichtenschlüsseln c Verschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts d Sendet die Daten über eine permanente TCP/IP-Verbindung an die BlackBerry Infrastructure 3. Die BlackBerry Infrastructure sendet die Daten über eine TCP-Verbindung an das BlackBerry 10-Gerät. 4. Das BlackBerry 10-Gerät führt die folgenden Aktionen aus: a Entschlüsselt die Nachrichtenschlüssel mit dem Transportschlüssel des Geräts b Entschlüsselt die Daten mithilfe von Nachrichtenschlüsseln c Dekomprimiert die Daten Beschränkungen für Cipher Suites auf BlackBerry 10-Geräten Mit BES12 können Sie einschränken, welche Cipher Suites der SSL-Bibliothek von BlackBerry 10-Geräten unterstützt werden. Sie können dies tun, wenn eine Cipher Suite entfernt werden soll, die ein Sicherheitsrisiko darstellt, und die Ressourcen Ihrer Organisation diese Cipher Suite für die Kommunikation nicht benötigen. Die standardmäßigen SSL-Konfigurationswerte sind in den meisten Bereitstellungen akzeptabel. Die Übertragung einer benutzerdefinierten SSL-Konfiguration kann eine erhebliche Auswirkung auf die Systeme haben, zu denen die Geräte der Benutzer eine Verbindung herstellen müssen. Wenn Sie planen, eine benutzerdefinierten SSL-Konfiguration auf Geräte zu übertragen, sollten Sie diese zuvor auf ein paar Geräten testen. Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren. NIAP Common Criteria-Funktionalität auf BlackBerry 10-Geräten NIAP ist eine Initiative der US-amerikanischen Regierung zur Einhaltung von IT-Sicherheitsanforderungen. BES12- und BlackBerry 10-Geräte (BlackBerry 10 OS Version 10.3.3 und höher) unterstützen NIAP Common CriteriaFunktionalität. Wenn die IT-Richtlinienregel „NIAP Common Criteria-Funktionalität aktivieren“ ausgewählt ist, verhandeln regulierte BlackBerry Balance-Geräte und Geräte, die nur über einen geschäftlichen Bereich verfügen, alle TLS-Verbindungen gemäß dem in RFC 6460 definierten „Suite B Profile“ und unterstützen die folgenden Cipher-Suites: • TLS_RSA_WITH_AES_128_CBC_SHA • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 Schützen der Kommunikation zwischen Apps auf Ihren BlackBerry 10-Geräten und Ihrem Unternehmensnetzwerk BlackBerry 10-Geräte lassen geschäftliche Apps und persönliche Apps (auf Geräten mit einem persönlichen Bereich) zu, um unter Verwendung eines verfügbaren Wi-Fi-Profils oder VPN-Profils eine Verbindung zu Ihrem Unternehmensnetzwerk 87 Wie BES12 Ihre Daten während der Übertragung schützt herzustellen. Wenn Sie Wi-Fi-Profile oder VPN-Profile mit dem BES12 konfigurieren, erlauben Sie persönlichen Apps, auf das Netzwerk Ihres Unternehmens zuzugreifen. Wenn die Sicherheitsanforderungen Ihres Unternehmens nicht zulassen, dass persönliche Apps auf das Unternehmensnetzwerk zugreifen, können Sie die Verbindungsoptionen einschränken. Mithilfe der IT-Richtlinienregel "Zulassen, dass persönliche Apps geschäftliche Netzwerke verwenden" können Sie verhindern, dass persönliche Apps das Netzwerk Ihres Unternehmens verwenden, indem sie über Ihre geschäftliche Wi-Fi- oder VPN-Netzwerkverbindung auf das Internet zugreifen. Außerdem können Sie die Kommunikationsmethoden einschränken, über die Geräte über BES12 eine Verbindung mit Ihrem Unternehmensnetzwerk herstellen können. Beschränken Sie dazu die Verbindungsoptionen auf den BlackBerry MDS Connection Service und die BlackBerry Infrastructure. Persönliche Apps können über den BlackBerry MDS Connection Service und die BlackBerry Infrastructure keine Verbindung zum Netzwerk Ihres Unternehmens herstellen. Schützen von Daten, die mittels Push an Apps auf BlackBerry 10-Geräten übertragen wurden Der BlackBerry MDS Connection Service verbindet Push-Anwendungen, die auf den Anwendungsservern oder Webservern Ihres Unternehmens gehostet werden, mit Apps auf BlackBerry 10-Geräten. Der BlackBerry MDS Connection Service sendet von Push-Anwendungen empfangene Push-Anforderungen über die BlackBerry Infrastructure an Apps auf BlackBerry 10Geräten. Bei Bedarf können Sie nur bestimmten Push-Anwendungen erlauben, Daten mittels Push an BlackBerry 10-Geräte zu übertragen, und Sie können die Authentifizierung aktivieren, um zu verhindern, dass der BlackBerry MDS Connection Service Daten von nicht autorisierten Push-Anwendungen sendet. Zum Schutz der Verbindung zwischen Push-Anwendungen und dem BlackBerry MDS Connection Service können Sie TLS verwenden. Push-Anwendungen können das selbstsignierte Zertifikat verwenden, das generiert wird, wenn Sie den BlackBerry MDS Connection Service-Schlüsselspeicher konfigurieren, oder Sie können dem Schlüsselspeicher ein signiertes Zertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle hinzufügen. Weitere Informationen zum BlackBerry MDS Connection Service finden Sie in der Dokumentation zur Konfiguration. 88 Wie BES12 Ihre Daten während der Übertragung schützt Schutz von Daten während der Übertragung zwischen Secure Work Space Geräten und Ihren Ressourcen Sie können für die Daten eines Geräts während der Übertragung einen zusätzlichen Schutz bereitstellen, unter anderem für Authentifizierungsverbindungen und -sitzungen, und die Daten verschlüsseln, indem die Enterprise-Konnektivität bei einem Gerät mit Secure Work Space aktiviert wird. Mit der Enterprise-Konnektivität vermeiden Sie, dass innerhalb der Firewall Ihres Unternehmens eine direkte Verbindung mit dem Internet für die Geräteverwaltung und Drittanbieteranwendungen, bspw. den Mailserver, die Zertifizierungsstelle und andere Web- oder Inhaltsserver, geöffnet wird. Die Enterprise-Konnektivität sendet den gesamten Datenverkehr über die BlackBerry Infrastructure an BES12. Weitere Informationen über Enterprise-Konnektivitäts-Profile finden Sie in der Dokumentation für Administratoren. Verbindung eines Geräts mit Secure Work Space mit Enterprise-Konnektivität mit BES12 Beim Zugriff auf Ihr Unternehmensnetzwerk stellt ein Gerät mit Enterprise-Konnektivität die Verbindung über einen Wi-FiZugriffspunkt oder ein Mobilfunknetz, die BlackBerry Infrastructure, die Firewall Ihres Unternehmens und BES12 her. Die Geräte und die Ressourcen Ihres Unternehmens verwenden Tunneling für die Einkapselung verschiedener Verschlüsselungsarten in der End-to-End-Verbindung. Man spricht von Tunneling (Tunneln), wenn Daten mit mehr als einer Verschlüsselungsschicht verschlüsselt werden. Welche Art der Verschlüsselung verwendet wird, hängt von der Art der Verbindung zwischen dem Gerät und der Ressource ab. Die Daten, die das Gerät und BES12 untereinander austauschen, werden mithilfe der TLS-Verschlüsselung verschlüsselt. Wurde der drahtlose Zugriffspunkt eingerichtet, um Wi-Fi-Verschlüsselung zu verwenden, verwenden die Daten, die das Gerät und der drahtlose Zugriffspunkt austauschen, dieWi-Fi-Verschlüsselung. Da auf dem Gerät Tunneling verwendet wird, werden die Daten, die das Gerät an BES12 sendet, während der Übertragung zwischen dem Gerät und dem drahtlosen Zugriffspunkt zuerst durch TSL-Verschlüsselung und anschließend durch Wi-Fi-Verschlüsselung verschlüsselt. 89 Wie BES12 Ihre Daten während der Übertragung schützt Verschlüsselungstyp Beschreibung Wi-Fi-Verschlüsselung (IEEE 802.11) Verschlüsselung wird für Daten verwendet, die bei der Verbindung zwischen einem Gerät und einem drahtlosen Zugriffspunkt übertragen werden, wenn der drahtlose Zugriffspunkt für die Verwendung der Wi-Fi-Verschlüsselung eingerichtet wurde. TLS-Verschlüsselung Verschlüsselt die Daten für die Verbindung zwischen einem Gerät und BES12 mithilfe des TLS-Protokolls mit dem Algorithmus AES-256. SSL/TLS-Verschlüsselung Verschlüsselt die Daten für die Sitzung zwischen einem Gerät und einem Inhalts-, Web- oder E-Mail-Server, der Exchange ActiveSync verwendet. Die Verschlüsselung für diese Sitzung muss separat auf jedem Server eingerichtet werden. Hierbei wird für jeden Server ein separates Zertifikat verwendet. Auf dem Server kann je nach Einrichtung SSL oder TLS verwendet werden. Benutzerauthentifizierung mit der Good for BES12-App oder dem BES12 Client Die Good for BES12-App oder der BES12 Client authentifiziert den Gerätebenutzer bei BES12 und verwendet hierzu ein von BES12 signiertes Zertifikat. Diese Authentifizierung erfolgt, bevor BES12 gesicherte Apps per Push auf das Gerät überträgt. Wenn die Authentifizierung erfolgreich ist, sendet BES12 die Bereitstellungsdaten an die Good for BES12-App oder den BES12 Client. Wenn die gesicherten Apps auf das Gerät übertragen werden und eine gesicherte App geöffnet wird, sendet die Good for BES12-App oder der BES12 Client die Bereitstellungsdaten an Secure Work Space. Secure Work Space verwendet die Bereitstellungsdaten zum Herstellen einer Verbindung an BES12. Verschlüsselung und Sicherheit für geschäftliche Daten bei der Übertragung Die Übertragung gesicherter Apps (z. B. E-Mail- und Kalenderdaten) erfolgt über TLS-authentifizierte Sitzungen für die Datenverschlüsselung zwischen dem Gerät und BES12. Für diesen Datenverkehr werden SSL- oder TLS-Verschlüsselung zum Verschlüsseln der Sitzung zwischen dem Gerät und dem Inhaltsserver, Web- oder E-Mail-Server eingesetzt, der Exchange ActiveSync verwendet. Für gesicherte Apps mit Enterprise-Konnektivität werden zudem eine API-seitige Authentifizierung und die Validierung per Sitzungs-Token bereitgestellt. Bei der API-Authentifizierung verwendet jede API-Kommunikationsmethode eine eindeutige Methode für den Aufbau einer vertrauenswürdigen Beziehung. Wenn die Sicherheit einer der Methoden beeinträchtigt werden sollte, sind andere Methoden weiterhin sicher. Die Validierung per Sitzungs-Token wird für die Identifizierung des Geräts bei der Bereitstellung verwendet. Einige APIs nutzen das Sitzungs-Token, abhängig vom Sicherheitskontext. Speichern und Schützen von Authentifizierungszertifikaten BES12 und die Good for BES12-App oder der BES12 Client auf dem Gerät mit Secure Work Space sichern den Kanal und speichern jeweils eine Kopie des Authentifizierungszertifikats. Die Good for BES12-App oder der BES12 Client speichert das 90 Wie BES12 Ihre Daten während der Übertragung schützt Zertifikat im sicheren Dateisystem. Gesicherte Apps verwenden die Verwendung des Zertifikats für die Kommunikation mit BES12 über den sicheren Kanal. Innerhalb des sicheren Kanals kann eine gesicherte App von Dritten einen zweiten sicheren Kanal für die Authentifizierung mit Webseiten einrichten. Hierfür verwendet die App den zugrundeliegenden Schlüsselspeicher des Geräts (z. B. den iOSSchlüsselspeicher). Schutz von Daten während der Übertragung mit BlackBerry Secure Connect Plus BlackBerry Secure Connect Plus ist eine BES12-Komponente, die einen sicheren IP-Tunnel zwischen Apps und dem Netzwerk des Unternehmens bereitstellt: • Auf BlackBerry 10-, Samsung KNOX Workspace und Android for Work-Geräten verwenden alle Apps des geschäftlichen Bereichs den sicheren Tunnel. • Für Geräte mit iOS 9 und höher mit der Aktivierungsart „MDM-Steuerelemente“ können Sie zulassen, dass alle Apps den Tunnel nutzen oder festlegen, welche Apps „Per App VPN“ verwenden. Über diesen Tunnel haben Benutzer Zugriff auf Ressourcen hinter der Firewall Ihres Unternehmens, wobei die Sicherheit der Daten mithilfe von Standardprotokollen und durchgehender Verschlüsselung sichergestellt wird. BlackBerry Secure Connect Plus und ein unterstütztes Gerät stellen einen sicheren IP-Tunnel her, wenn eine Verbindung zu Ihrem geschäftlichen Wi-Fi-Netzwerk oder VPN nicht verfügbar ist. Wenn Sie auf iOS-Geräten „Per App VPN“ für BlackBerry Secure Connect Plus konfigurieren, verwenden die konfigurierten Apps immer eine sicher Tunnelverbindung über BlackBerry Secure Connect Plus, auch wenn die App eine Verbindung zum geschäftlichen Wi-Fi Netzwerk oder VPN herstellen kann, das in einem Wi-Fi- oder VPN-Profil festgelegt ist. Unterstützte Geräte kommunizieren mit BES12 über die BlackBerry Infrastructure, um den sicheren Tunnel herzustellen. Solange der Tunnel geöffnet ist, haben die Apps Zugriff auf Netzwerkressourcen. Sobald der Tunnel nicht mehr benötigt wird (zum Beispiel, wenn der Benutzer in den Empfangsbereich des geschäftlichen Wi-Fi-Netzwerks zurückkehrt), wird er von BlackBerry Secure Connect Plus geschlossen. Wie BlackBerry Secure Connect Plus einen sicheren IP-Tunnel herstellt Nachdem BES12 und das Gerät ermittelt haben, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung geschäftlicher Apps mit dem Netzwerk des Unternehmens ist, verhandeln das Gerät und BES12 die Tunnelparameter über die BlackBerry Infrastructure. Der hergestellte Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt. Er unterstützt Standard-IPv4-Protokolle (TCP und UDP). BlackBerry Secure Connect Plus verschlüsselt und entschlüsselt Datenverkehr mit FIPS-140-zertifizierten Certicom-Bibliotheken mit Cipher Suites für RSA und ECC-Schlüsseln. 91 Wie BES12 Ihre Daten während der Übertragung schützt Datenfluss: Erstellung eines sicheren IP-Tunnels durch BlackBerry Secure Connect Plus 1. BES12 und das Gerät erkennen, dass ein sicherer IP-Tunnel die beste verfügbare Methode zur Verbindung zwischen Apps und dem Netzwerk Ihres Unternehmens ist. 2. Das Gerät sendet ein Signal über TLS an die BlackBerry Infrastructure, um einen sicheren Tunnel zum Netzwerk des Unternehmens anzufordern. 3. BlackBerry Secure Connect Plus empfängt das Signal über Port 3101 von der BlackBerry Infrastructure. 4. Das Gerät und BlackBerry Secure Connect Plus handeln die Tunnelparameter aus und erstellen einen sicheren Tunnel durch die BlackBerry Infrastructure. Der Tunnel ist authentifiziert und durchgehend mit DTLS verschlüsselt. Verbinden mit einem VPN VPN-Profile werden nur auf Geräten mit BlackBerry 10, iOS, OS X, Samsung KNOX MDM, KNOX Workspace und Windows 10unterstützt. Wenn Ihre Unternehmensumgebung VPNs umfasst, z. B. IPSec- oder SSL-VPNs, können Sie Geräte zur Authentifizierung bei einem VPN für den Zugriff auf das Netzwerk des Unternehmens konfigurieren. Ein VPN stellt einen verschlüsselten Tunnel zwischen einem Gerät und dem Netzwerk bereit. Eine VPN-Lösung besteht aus einem VPN-Client auf einem Gerät und einem VPN-Konzentrator. Das Gerät kann den VPN-Client zur Authentifizierung mit dem VPN-Konzentrator verwenden, der als Gateway zum Unternehmensnetzwerk fungiert. Jedes Gerät enthält einen integrierten VPN-Client, der mehrere VPN-Konzentratoren unterstützt. Je nach VPN-Lösung ist es möglicherweise erforderlich, dass auf dem Gerät eine Client-App installiert wird. Der VPN-Client auf dem Gerät unterstützt zur Authentifizierung mit dem VPN-Konzentrator die Verwendung einer starken Verschlüsselung. Er erstellt einen verschlüsselten Tunnel zwischen dem Gerät und dem VPN-Konzentrator, über den das Gerät und das Unternehmensnetzwerk kommunizieren können. 92 Wie BES12 Ihre Daten während der Übertragung schützt Verschlüsselung einer VPN-Verbindung Bei einer VPN-Verbindung stellen Geräte über einen drahtlosen Zugriffspunkt oder ein Mobilfunknetz, die Firewall und den VPN-Server des Unternehmens eine Verbindung mit den Ressourcen des Unternehmens her. Wi-Fi-Verschlüsselung wird verwendet, wenn der drahtlose Zugriffspunkt für ihre Verwendung eingerichtet ist. Das Gerät kann für die Verbindung die Authentifizierung auf Kennwort- oder Zertifikatbasis verwenden. VPN auf Abruf für iOS- oder OS X-Geräte Mit VPN auf Abruf können Sie festlegen, ob ein iOS- oder OS X-Gerät automatisch eine Verbindung zu einem VPN in einer bestimmten Domäne aufbaut. Client-Zertifikate liefern dem Benutzergerät die Authentifizierung, wenn auf diese bestimmte Domäne zugegriffen wird. Sie können z. B. die Domäne Ihres Unternehmens angeben, um Benutzern den Zugriff auf den Inhalt Ihres Intranets mithilfe von VPN bei Bedarf zu gestatten. Per App VPN für Apps und App-Gruppen Sie können Per App VPN auf iOS- und Windows 10-Geräten verwenden, um zu bestimmen, welche geschäftlichen Apps und gesicherten Apps auf Geräten ein VPN für die Datenübertragung verwenden müssen. Per App VPN trägt zur Senkung der Belastung Ihres Unternehmens-VPN bei, indem nur bestimmter geschäftlicher Datenverkehr für die Verwendung des VPN freigegeben wird (bspw. Zugriff auf Anwendungsserver oder Webseiten hinter der Firewall). Diese Funktion unterstützt auch die Privatsphäre des Benutzers und erhöht die Verbindungsgeschwindigkeit für persönliche Apps, indem der persönliche Datenverkehr nicht über das VPN gesendet wird. Weitere Informationen über Per App VPN finden Sie in der Dokumentation für Administratoren. 93 Wie BES12 Ihre Daten während der Übertragung schützt Schützen der Kommunikation mit Geräten mithilfe von Zertifikaten Ein Zertifikat ist ein digitales Dokument, das die Identität und den öffentlichen Schlüssel eines Zertifikatempfängers miteinander verknüpft. Für jedes Zertifikat ist ein entsprechender privater Schlüssel vorhanden, der getrennt gespeichert wird. Eine Zertifizierungsstelle signiert die Zertifikate und bescheinigt so ihre Glaubwürdigkeit. Je nach Gerätefunktionen und Aktivierungsart können Zertifikate auf Geräten für Folgendes verwendet werden: • Authentifizieren mittels SSL/TLS, wenn die Geräte eine Verbindung zu Webseiten herstellen, die HTTPS verwenden • Authentifizieren mit einem geschäftlichen Mailserver • Authentifizieren bei einem geschäftlichen Wi-Fi-Netzwerk und, sofern die Geräte dies unterstützen, bei einem VPN • Verschlüsseln und Signieren von E-Mail-Nachrichten mittels S/MIME-Schutz (nur unterstützte Geräte) Bereitstellen von Client-Zertifikaten für Geräte Viele Zertifikate, die für verschiedene Zwecke verwendet werden, können auf einem Gerät gespeichert werden. Sie können Client-Zertifikate auf verschiedene Arten auf Geräten bereitstellen. So wird das Zertifikat hinzugefügt Beschreibung Während der Geräteaktivierung BES12 sendet während des Aktivierungsprozesses Zertifikate Alle an Geräte. Die Geräte verwenden diese Zertifikate, um sichere Verbindungen zwischen dem Gerät und BES12 herzustellen. SCEP-Profile Sie können SCEP-Profile erstellen, mit denen Geräte Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEP-Diensts abrufen. Die Geräte können diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen Wi-Fi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver verwenden. Profile für Benutzeranmeldeinformationen Unterstützte Geräte • BlackBerry 10 • iOS • OS X • Secure Work Space • Samsung KNOX Workspace • Android for Work • Windows 10 Wenn Ihr Unternehmen Entrust- oder OpenTrust• Softwareprodukte verwendet, um Zertifikate auszustellen und • zu verwalten, können Sie Profile für • Benutzeranmeldeinformationen erstellen, die von Geräten 94 BlackBerry 10 iOS OS X Wie BES12 Ihre Daten während der Übertragung schützt So wird das Zertifikat hinzugefügt Beschreibung Unterstützte Geräte verwendet werden, um Zertifikate von der Zertifizierungsstelle • Ihres Unternehmens zu erhalten. Die Geräte verwenden diese Zertifikate für die zertifikatsbasierte Authentifizierung im Browser und für die Verbindung zu einem geschäftlichen WiFi-Netzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver. Profile für Ein Profil für ein freigegebenes Zertifikat legt ein freigegebenes Zertifikat Clientzertifikat fest, das BES12 an iOS-, OS X- und AndroidGeräte sendet. BES12 sendet das gleiche Clientzertifikat an jeden Benutzer, dem das Profil zugewiesen ist. Android • iOS • OS X • Android • iOS • Android Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um ein Profil für ein freigegebenes Zertifikat zu erstellen. Senden von ClientZum Senden eines Client-Zertifikats an die Geräte einzelner Zertifikaten an einzelne Benutzer können Sie einem Benutzerkonto ein ClientBenutzerkonten Zertifikat hinzufügen. BES12 sendet das Zertifikat an die iOSund Android-Geräte des Benutzers. Der Administrator muss Zugriff auf das Zertifikat und den privaten Schlüssel haben, um das Client-Zertifikat an den Benutzer zu senden. Benutzerimport Benutzer können Clientzertifikate in den Zertifikatsspeicher BlackBerry 10 des Geräts im Abschnitt "Sicherheit und Datenschutz" der "Systemeinstellungen" importieren. Zertifikate für die Verwendung durch den geschäftlichen Browser oder zum Senden von S/MIME-geschützten Nachrichten vom geschäftlichen E-Mail-Konto können aus dem Dateisystem auf dem Gerät oder aus einem Netzwerkpfad, der vom geschäftlichen Bereich zugänglich ist, importiert werden. Smartcards Benutzer können S/MIME- und SSL-Zertifikate von einer Smartcard auf ihre Geräte importieren. BlackBerry 10 Weitere Informationen zum Senden von Client-Zertifikaten an Geräte finden Sie in der Dokumentation für Administratoren. 95 Wie BES12 Ihre Daten während der Übertragung schützt Verwenden von SCEP für die Anmeldung von Client-Zertifikaten auf Geräten SCEP wird von BlackBerry 10-Geräten, iOS-Geräten, OS X-Geräten, Android-Geräten mit Samsung KNOX Workspace, Android for Work oder Secure Work Space sowie von Geräten mit Windows 10 unterstützt. SCEP ist ein IETF-Protokoll, das das Anmelden von Zertifikaten auf vielen Geräten vereinfacht, indem zur Ausstellung der einzelnen Zertifikate weder ein Eingriff vonseiten des Administrators noch eine Genehmigung erforderlich ist. Geräte können Verbindungen zu Clientzertifikaten herstellen und diese von der Zertifizierungsstelle Ihres Unternehmens mithilfe eines SCEPDiensts abrufen. Sie können SCEP verwenden, um Clientzertifikate auf Geräten anzumelden, damit die Geräte zertifikatsbasierte Authentifizierung im Browser verwenden können, und um eine Verbindung zu einem geschäftlichen Wi-FiNetzwerk, einem geschäftlichen VPN oder einem geschäftlichen Mailserver herzustellen. Die Zertifikatsanmeldung startet, nachdem ein Gerät ein SCEP-Profil empfangen hat, das dem Benutzer zugewiesen ist oder mit einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil verknüpft ist. Geräte können ein SCEP-Profil von BES12 während des Aktivierungsprozesses empfangen, wenn Sie ein SCEP-Profil ändern oder wenn Sie ein anderes Profil ändern, dem ein SCEPProfil zugewiesen ist. Nachdem die Zertifikatsanmeldung abgeschlossen ist, werden das Client-Zertifikat und dessen Zertifikatskette sowie der private Schlüssel im geschäftlichen Schlüsselspeicher auf dem Gerät gespeichert. Wenn Sie eine Microsoft-Zertifizierungsstelle verwenden, muss die Zertifizierungsstelle Abfragekennwörter unterstützen. Die Zertifizierungsstelle verifiziert mithilfe von Abfragekennwörtern, dass das Gerät zum Senden einer Zertifikatsanforderungen autorisiert ist. Wenn die Zertifizierungsstelle NDES umgesetzt hat, können Sie dynamische Abfragekennwörter verwenden. Das statische Abfragekennwort oder die Einstellungen zum Erhalt eines dynamisch generierten Abfragekennworts vom SCEP-Dienst werden im SCEP-Profil bestimmt. Um das Kennwort zu schützen, wird es auf BlackBerry 10-Geräten nicht an die Geräte gesendet. Auf anderen Geräten wird das Kennwort an die Geräte gesendet, um den Geräten die Ausführung der Zertifikatsanforderungen zu ermöglichen. Wenn Sie ein statisches Abfragekennwort verwenden, wird für alle SCEPAnforderungen von Geräten das gleiche Abfragekennwort verwendet. Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt. Weitere Informationen zum SCEP-Internet-Draft finden Sie unter www.ietf.org. Verwalten von Zertifikaten, die mithilfe von SCEP an einem Gerät angemeldet werden Nachdem ein Gerät ein Zertifikat mithilfe von SCEP angemeldet hat, überwacht die SCEP-Komponente das Ablaufdatum des Zertifikats. Wenn sich das Ablaufdatum eines Zertifikats nähert, startet die SCEP-Komponente den Anmeldungsprozess für ein neues Zertifikat. Mithilfe der SCEP-Profileinstellung "Automatische Erneuerung" können Sie einstellen, wie viele Tage vor Ablauf eines Zertifikats diese automatische Zertifikatserneuerung erfolgen soll. Das Verfahren der Zertifikatregistrierung kann zudem neu beginnen, wenn Sie Änderungen an SCEP-Profileinstellungen für Zertifizierungsstelle, Verbindung oder Verschlüsselungsschlüssel vornehmen, z. B. URL, SCEP-Challenge-Typ, Schlüsselalgorithmus oder Schlüsselgröße. 96 Wie BES12 Ihre Daten während der Übertragung schützt Der Prozess der Zertifikatsanmeldung löscht weder vorhandene Zertifikate von Geräten, noch benachrichtigt er die Zertifizierungsstelle darüber, dass angemeldete Zertifikate nicht mehr in Gebrauch sind. Wenn ein SCEP-Profil von BES12 entfernt wird, werden die dazugehörigen Zertifikate nicht von den Geräten des zugeordneten Benutzers entfernt. Datenfluss: Anmelden eines Zertifikats bei einem BlackBerry 10-Gerät mithilfe von SCEP 1. BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist. 2. Das Gerät führt die folgenden Aktionen aus: 3. a Erstellen eines Schlüsselpaares mithilfe des Schlüsselalgorithmus und der Schlüsselstärke, die im SCEP-Profil angegeben ist b Erstellen eines PKCS#10 CSR mit allen erforderlichen Attributen für die Anfrage, abgesehen vom Abfragekennwort c Senden des SCEP-Profilnamens, des PKCS#10 CSR und des Hashtyps an BES12 BES12 führt die folgenden Aktionen aus: a Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank b Hinzufügen des Abfragekennworts zum PKCS#10 CSR c Verwenden der Hashfunktion für PKCS#10 CSR d Senden des PKCS#10 CSR-Hash an das Gerät 4. Das Gerät berechnet die Signatur auf dem PKCS#10 CSR-Hash und sendet den SCEP-Profilnamen, das ursprüngliche PKCS#10 CSR, die Signaturanfrage, die berechnete Signaturantwort, das Zertifizierungsstellenzertifikat (zum Verschlüsseln der SCEP-Anfrage), den Hashtyp und die Art der Verschlüsselung an BES12. 5. BES12 führt die folgenden Aktionen aus: a Überprüfen des empfangenen Zertifizierungsstellenzertifikats b Überprüfen der Übereinstimmung des definierten Antragsstellernamens, des alternativen Antragsstellernamens und der E-Mail-Adresse in der Anfrage mit den Benutzerkontoinformationen in der BES12-Datenbank c Hinzufügen des Abfragekennworts zum PKCS#10 CSR d Hinzufügen der berechneten Signaturantwort zum PKCS#10 CSR e Verschlüsseln des PKCS#10 CSR mithilfe des verpackten PKCS#7- Dateiformats und des öffentlichen Zertifizierungsstellenschlüssels 97 Wie BES12 Ihre Daten während der Übertragung schützt f Senden der verpackten PKCS#7-Daten an das Gerät 6. Das Gerät schließt die SCEP-Anfrage durch Signieren der verpackten PKCS#7-Daten mithilfe des signierten PKCS#7Dateiformats und sendet die SCEP-Anfrage durch BES12 an die Zertifizierungsstelle. 7. Die Zertifizierungsstelle stellt das Zertifikat aus und sendet es über BES12 das Gerät. 8. Der Enterprise Management Agent auf dem Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher auf dem Gerät hinzu und macht das Zertifikat für die angegebene Verbindung verfügbar, wenn das SCEP-Profil einem zugewiesenen Wi-Fi-, VPN- oder E-Mail-Profil zugeordnet ist. Datenfluss: Anmelden eines Client-Zertifikats auf einem Gerät, das BES12 als Proxy für die SCEP-Anforderung verwendet Sie können BES12 als Proxy für SCEP-Anforderungen verwenden, die von iOS- und Android-Geräten an die Zertifizierungsstelle gesendet werden. Wenn die Zertifizierungsstelle sich hinter Ihrer Firewall befindet, können Sie mithilfe von BES12 als Proxy Client Zertifikate auf Geräten anmelden, ohne die Zertifizierungsstelle außerhalb der Firewall sichtbar zu machen. 1. BES12 sendet ein SCEP-Profil, das dem Benutzer zugewiesen oder mit einem zugeordneten Wi-Fi-, VPN- oder E-MailProfil verknüpft ist. 2. Das Gerät erstellt eine SCEP-Anforderung und sendet sie an die BlackBerry Infrastructure. 3. Die BlackBerry Infrastructure sendet die SCEP-Anforderung an BES12. 4. BES12 aktualisiert die URL für die SCEP-Anforderung und sendet die SCEP-Anforderung an die Zertifizierungsstelle. 5. Die Zertifizierungsstelle gibt das Zertifikat aus und sendet es an BES12. 6. BES12 sendet die SCEP-Anforderung an die BlackBerry Infrastructure. 7. Die BlackBerry Infrastructure sendet die SCEP-Anforderung an das Gerät. 8. Das Gerät fügt das Zertifikat und den entsprechenden privaten Schlüssel zum Schlüsselspeicher hinzu. Senden von Zertifizierungsstellenzertifikaten an Geräte Sie müssen möglicherweise Zertifizierungsstellenzertifikate an Geräte verteilen, wenn Ihr Unternehmen S/MIME verwendet oder wenn Geräte eine zertifikatsbasierte Authentifizierung für die Verbindung mit einem Netzwerk oder einem Server in Ihrer Unternehmensumgebung verwenden. 98 Wie BES12 Ihre Daten während der Übertragung schützt Wenn die von den Zertifizierungsstellen ausgegebenen Netzwerk- und Serverzertifikate Ihres Unternehmens auf Geräten gespeichert werden, ist die Vertrauenswürdigkeit beim Aufbau sicherer Verbindungen zu Ihren Netzwerken und Servern gewährleistet. Wenn die Zertifikate der Zertifizierungsstellen, von denen die S/MIME-Zertifikate Ihres Unternehmens ausgestellt wurden, auf Geräten gespeichert werden, können die Geräte beim Empfang einer mit S/MIME geschützten E-Mail-Nachricht das Zertifikat des Absenders als vertrauenswürdig behandeln. Mithilfe von Profilen mit Zertifizierungsstellenzertifikat können Sie Zertifizierungsstellenzertifikate an Geräte senden. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Schutz von E-Mail-Nachrichten Alle Geräte unterstützen Exchange ActiveSync zum Synchronisieren von E-Mail-Nachrichten, Kalendereinträgen, Kontakten und anderen Terminplanerdaten mit dem E-Mail-Server Ihres Unternehmens.Geräte mit BlackBerry 10, Windows und Secure Work Space unterstützen auch IBM Notes Traveler. BES12 kann es ermöglichen, dass Geräte, die nicht mit dem internen Netzwerk des Unternehmens verbunden sind oder die keine VPN-Verbindung haben, mit dem E-Mail-Server synchronisiert werden, ohne dass Sie Verbindungen mit dem E-Mail-Server von außerhalb der Firewall verfügbar machen müssen. BES12 ermöglicht Geräten eine sichere Synchronisierung mit dem E-Mail-Server über die BlackBerry Infrastructure mithilfe der gleichen Verschlüsselungsmethoden, die für alle anderen Geschäftsdaten verwendet werden. Wenn BES12 die Verbindung zwischen Ihrem E-Mail-Server und den Geräten bereitstellt, haben die BES12-IT-Richtlinien Vorrang vor allen Richtlinien, die für die Geräte auf dem E-Mail-Server festgelegt wurden. Wenn Ihr Unternehmen zum Anmelden von Zertifikaten bei Geräten SCEP verwendet, können Sie ein SCEP-Profil mit einem EMail-Profil verknüpfen, um eine zertifikatsbasierte Authentifizierung zu erzwingen und somit zum Schutz der Verbindungen zwischen den Geräten und dem E-Mail-Server beizutragen. Steuern, welche Geräte Exchange ActiveSync verwenden können Microsoft Exchange kann so konfiguriert werden, dass Geräte für die Nutzung von Exchange ActiveSync blockiert sind, es sei denn, die Geräte wurden ausdrücklich einer Positivliste hinzugefügt. Geräte, die nicht auf dieser Liste stehen, können nicht auf geschäftliche E-Mail und Terminplanerdaten zugreifen. Im BES12 können Sie Microsoft Exchange-Gatekeeping einrichten, um zu steuern, welche Geräte automatisch zur Liste der zulässigen Geräte auf Ihrem Microsoft Exchange Server hinzugefügt werden. Wenn Sie Microsoft Exchange Gatekeeping verwenden und ein Benutzer, dem ein E-Mail-Profil zugewiesen ist, ein BlackBerry 10-, Secure Work Space- Android for Work- oderKNOX Workspace-Gerät aktiviert, wird das Gerät automatisch in die Liste der zulässigen Geräte in Microsoft Exchange aufgenommen. Ein Gerät wird dann automatisch von der Liste der zulässigen Geräte entfernt, wenn Sie das E-Mail-Profil aus dem Benutzerkonto entfernen, wenn das Gerät die Einstellungen im zugewiesenen Einhaltungsprofi verletzt oder wenn das Gerät deaktiviert wird. Sie müssen Android MDM-Geräte der Positivliste manuell hinzufügen bzw. sie manuell aus dieser entfernen. 99 Wie BES12 Ihre Daten während der Übertragung schützt Weitere Informationen zum Aktivieren von Microsoft Exchange-Gatekeeping und zum Hinzufügen und Entfernen von Geräten zur bzw. aus der Liste der zulässigen Geräte finden Sie in der Dokumentation für Administratoren. Erweitern der E-Mail-Sicherheit Durch sichere E-Mail wird die Sicherheit von E-Mail-Nachrichten zusätzlich erhöht. E-Mail-Standards wie S/MIME ermöglichen Benutzern digitales Signieren oder Verschlüsseln von E-Mail-Nachrichten, die sie von ihren Geräten senden oder empfangen: • Über digitale Signaturen können Empfänger die Authentizität und Integrität von Nachrichten überprüfen, die von Benutzern gesendet wurden. Wenn ein Benutzer eine Nachricht mit seinem privaten Schlüssel digital signiert, verwenden die Empfänger den öffentlichen Schlüssel des Absenders, um zu überprüfen, dass die Nachricht vom Absender stammt und die Nachricht nicht geändert wurde. • Durch Verschlüsselung kann die Vertraulichkeit von Nachrichten gewährleistet werden. Wenn ein Benutzer eine Nachricht verschlüsselt, verwendet das Gerät den öffentlichen Schlüssel des Empfängers, um die Nachricht zu verschlüsseln. Der Empfänger verwendet seinen privaten Schlüssel, um die Nachricht zu entschlüsseln. BES12- und Geräte unterstützen die folgenden sicheren E-Mail-Services: S/MIME, PGP und IBM Notes E-Mail-Verschlüsselung. S/MIME Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass Benutzer von BlackBerry 10-, iOS- und Secure Work Space-Geräten E-Mail-Nachrichten mit S/MIME signieren, verschlüsseln oder signieren und verschlüsseln, sofern sie ein geschäftliches E-Mail-Konto verwenden, das auf den Geräten S/MIME-geschützte Nachrichten unterstützt. BES12 ermöglicht die Steuerung der S/MIME-Optionen auf Geräten. Sie können beispielsweise festlegen, ob Geräte S/MIME-geschützte E-MailNachrichten senden können. Sie können die Benutzer von BlackBerry 10-Geräten zum Einsatz von S/MIME zwingen, aber nicht die Benutzer von iOS- oder Secure Work Space-Geräten. Wenn S/MIME optional verwendet wird, kann ein Benutzer S/MIMEEinstellungen mithilfe der Geräteeinstellungen aktivieren und konfigurieren. BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate mit den Dateiformaten und Dateinamenserweiterungen PEM (.pem, .cer), DER (.der, .cer) und PXF (.pfx, .p12). BlackBerry 10-Geräte unterstützen auch Nachrichten mit Signatur (clearsigned)n Nachrichten mit einer undurchsichtigen Signatur (opaque-signed) und Anlagen in S/MIME-geschützten E-MailNachrichten. iOS- und Secure Work Space-Geräte unterstützen Schlüssel und Zertifikate im PFX-Dateiformat entweder mit der Dateinamenerweiterung .pfx oder .p12. Benutzer müssen für jeden Empfänger, dem sie eine verschlüsselte E-Mail-Nachricht senden möchten, ein Zertifikat auf ihren Geräten speichern. Benutzer müssen ihre privaten Schlüssel auf ihren Geräten oder einer Smart Card speichern, ansonsten können sie keine S/MIME-verschlüsselten Nachrichten auf den Geräten lesen. BES12 ermöglicht Ihnen das Konfigurieren von LDAP-Servereinstellungen und das Senden der Einstellungen an BlackBerry 10und Secure Work Space-Geräte, damit Benutzer S/MIME-Zertifikate nicht manuell importieren müssen. Benutzer können nach S/MIME-Zertifikaten von Empfängern suchen und diese von LDAP-Servern über das drahtlose Netzwerk abrufen. Sie können verlangen, dass BlackBerry 10-Geräte entweder die einfache Authentifizierung oder Kerberos-Authentifizierung verwenden, um sich bei LDAP-Zertifikatservern zu authentifizieren. Geräte mit Secure Work Space verwenden für die Authentifizierung beim LDAP-Zertifikatserver die Kennwortauthentifizierung. 100 Wie BES12 Ihre Daten während der Übertragung schützt Im Falle von BlackBerry 10-Geräten ermöglicht BES12 auch das Konfigurieren von Einstellungen zum Ermitteln des Status von S/MIME-Zertifikaten mittels OCSP, HTTP, HTTPS oder LDAP. Sie können OCSP-Respondereinstellungen konfigurieren und diese an BlackBerry 10-Geräte senden; Geräte können dann den jeweiligen OCSP-Responder durchsuchen und den Status des Zertifikats abzurufen. Sie haben die Möglichkeit, BES12 für die Suche nach dem Status von S/MIME-Zertifikaten über HTTP, HTTPS oder LDAP zu konfigurieren; Geräte können dann Zertifikat-Statusabfragen an BES12 senden. Wenn Ihr Unternehmen Exchange ActiveSync für den Zertifikatabruf verwendet, verwenden iOS- und Secure Work SpaceGeräte Exchange ActiveSync, um den Status von S/MIME-Zertifikaten zu prüfen. Wenn Ihr Unternehmen LDAP für den Zertifikatabruf verwendet, verwenden iOS- und Secure Work Space-Geräte OCSP, um den Status von Zertifikaten zu prüfen. S/MIME-Verschlüsselungsalgorithmen Wenn Sie oder ein Benutzer die S/MIME-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, legt die Einstellung „Verschlüsselungsalgorithmen“ fest, dass ein Gerät jeden der folgenden Verschlüsselungsalgorithmen verwenden kann, um Nachrichten zu verschlüsseln: AES-256, AES-192, AES-128, RC2 und Triple DES. Sie können den Wert der Einstellung „Verschlüsselungsalgorithmen“ ändern, um nur eine Teilmenge der Verschlüsselungsalgorithmen zu verwenden, wenn die Sicherheitsrichtlinien Ihres Unternehmens dies erfordern. Wenn ein Benutzer eine S/MIME-geschützte Nachricht empfängt, speichert das Gerät die Verschlüsselungsalgorithmen, die die E-Mail-Anwendung des Senders unterstützt. Wenn der Benutzer eine verschlüsselte Nachricht an einen Empfänger sendet, für den das Gerät Verschlüsselungsalgorithmus-Informationen gespeichert hat, verwendet das Gerät einen Algorithmus, der von dem Empfänger unterstützt wird. Wenn das Gerät die Verschlüsselungsalgorithmen der E-Mail-Anwendung des Empfängers nicht bestimmen kann, verschlüsselt das Gerät die E-Mail-Nachricht mit Triple DES. Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIMEVerschlüsselung 1. Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mit S/MIME-Verschlüsselung. Das Gerät führt die folgenden Aktionen aus: a Prüft den Schlüsselspeicher des BlackBerry-Geräts auf das S/MIME-Zertifikat des Empfängers b Wenn der Schlüsselspeicher des Geräts das S/MIME-Zertifikat des Empfängers nicht enthält, verwendet das Gerät zum Abrufen das S/MIME-Zertifikat des Empfängers vom LDAP-Server und überprüft den Zertifikatsstatus c Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers d Wenn das Gerät mit BlackBerry Infrastructure verbunden ist, verwendet BlackBerry eine Transportschichtverschlüsselung zur Verschlüsselung der S/MIME-verschlüsselten Nachricht e Sendet die verschlüsselte Nachricht an BES12 2. Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung. 3. BES12 sendet die S/MIME-verschlüsselte Nachricht an den E-Mail-Server. 4. Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger. 5. Der Empfänger entschlüsselt die S/MIME-verschlüsselte Nachricht mit seinem privaten S/MIME-Schlüssel. 101 Wie BES12 Ihre Daten während der Übertragung schützt Datenfluss: Senden einer E-Mail-Nachricht von einem iOS- oder Android-Gerät mit S/MIMEVerschlüsselung 1. Ein Benutzer sendet eine E-Mail-Nachricht von einem iOS- oder Android-Gerät. Das Gerät führt die folgenden Aktionen aus: a Prüft den Schlüsselspeicher des Geräts auf das S/MIME-Zertifikat des Empfängers. b Verschlüsselt die E-Mail-Nachricht mit dem S/MIME-Zertifikat des Empfängers. c Sendet die verschlüsselte Nachricht an den E-Mail-Server. 2. Der E-Mail-Server sendet die S/MIME-verschlüsselte Nachricht an den Empfänger. 3. Der Empfänger entschlüsselt die mit S/MIME verschlüsselte Nachricht mit dem privaten S/MIME-Schlüssel des Empfängers. PGP Sie können die Nachrichtensicherheit für BES12 erweitern und zulassen, dass BlackBerry 10-Geräte (mit BlackBerry 10 OS Version 10.3.1 oder höher) Nachrichten mit dem PGP-Schutz signieren, verschlüsseln oder signieren und verschlüsseln, wenn die Benutzer E-Mail-Nachrichten über ein geschäftliches E-Mail-Konto senden, das auf den Geräten PGP-geschützte Nachrichten unterstützt. BES12 ermöglicht die Steuerung der PGP-Optionen auf Geräten. Sie können beispielsweise festlegen, ob Geräte PGP-geschützte E-Mail-Nachrichten senden können. Sie können veranlassen, dass Benutzer PGP verwenden müssen. Wenn PGP optional ist, können Benutzer PGP-Einstellungen mithilfe der Geräteeinstellungen aktivieren und konfigurieren. BES12 unterstützt das OpenPGP-Format auf den Geräten. Weitere Informationen zum OpenPGP-Format finden Sie unter RFC 4880. BlackBerry 10-Geräte unterstützen Schlüssel und Zertifikate mit den Dateiformaten und Dateinamenserweiterungen PEM (.pem, .cer) und ASC (.asc, .cer). BlackBerry 10-Geräte unterstützen zudem Anlagen in PGP-geschützten E-MailNachrichten. Benutzer müssen ihre privaten PGP-Schlüssel auf ihren Geräten speichern, sonst können Geräte PGP-geschützte E-MailNachrichten nicht lesen. PGP-Verschlüsselungsalgorithmen Wenn Sie oder ein Benutzer die PGP-Verschlüsselung auf BlackBerry 10-Geräten aktivieren, können die Geräte jeden der folgenden Algorithmen verwenden, um E-Mail-Nachrichten zu verschlüsseln: AES-256, AES-192, AES-128, Triple DES-168 und CAST-128. Der öffentliche PGP-Schlüssel des Empfängers zeigt an, welche Verschlüsselungsalgorithmen von der E-Mail-Anwendung des Empfängers unterstützt werden. Das Gerät ist dazu konzipiert, den stärksten verfügbaren Verschlüsselungsalgorithmus zu verwenden. Wenn der öffentliche PGP-Schlüssel des Empfängers keine Liste von Verschlüsselungsalgorithmen enthält, verschlüsselt das Gerät die E-Mail-Nachricht standardmäßig mithilfe eines der Algorithmen in der folgenden Prioritätenfolge: AES-256, AES-192, AES-128, Triple DES-168 und CAST-128. 102 Wie BES12 Ihre Daten während der Übertragung schützt Datenfluss: Senden einer E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGPVerschlüsselung 1. Ein Benutzer sendet eine E-Mail-Nachricht von einem BlackBerry 10-Gerät mithilfe von PGP-Verschlüsselung aus. Das Gerät führt die folgenden Aktionen aus: a Das Gerät überprüft den Schlüsselspeicher des Geräts für den öffentlichen PGP-Schlüssel des Empfängers. b Wenn der Schlüsselspeicher des Geräts den öffentlichen PGP-Schlüssel des Empfängers nicht enthält, ruft das Gerät den öffentlichen PGP-Schlüssel des Empfängers vom Symantec Encryption Management Server ab. c Das Gerät verschlüsselt die E-Mail-Nachricht mithilfe des öffentlichen PGP-Schlüssels des Empfängers. d Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, verwendet das Gerät BlackBerryTransportschichtverschlüsselung zur Verschlüsselung der PGP-verschlüsselten Nachricht. e Das Gerät sendet die verschlüsselte Nachricht an BES12. 2. Wenn das Gerät mit der BlackBerry Infrastructure verbunden ist, entschlüsselt BES12 die BlackBerryTransportschichtverschlüsselung. 3. BES12 sendet die PGP-verschlüsselte Nachricht an den E-Mail-Server. 4. Der E-Mail-Server sendet die PGP-verschlüsselte Nachricht an den Empfänger. 5. Das Gerät des Empfängers entschlüsselt die PGP-verschlüsselte Nachricht mithilfe des privaten PGP-Schlüssels des Empfängers. Abrufen von PGP-Schlüsseln von einem Symantec Encryption Management Server Wenn Ihre Unternehmensumgebung einen Symantec Encryption Management Server umfasst, können Sie mithilfe der Einstellung "Symantec Encryption Management Server-Adresse" im E-Mail-Profil voraussetzen, dass Benutzer von BlackBerry 10-Geräten ihre Geräte mit diesem Server anmelden. Sie können außerdem festlegen, ob Benutzer ihre geschäftliche E-MailAdresse oder ihre Microsoft Active Directory-Anmeldeinformationen verwenden müssen, um Geräte mit diesem Server anzumelden. Die Benutzer müssen ihre Anmeldedaten übermitteln, und anschließend müssen sich die Geräte mit dem angegebenen Server anmelden, authentifizieren und in Verbindung setzen, bevor Benutzer PGP-Schutz auf ihren Geräten nutzen können. Nachdem Benutzer ihre Geräte mit dem Server angemeldet haben, können Geräte sowohl auf PGP-Schlüssel und den PGPSchlüsselstatus zugreifen als auch die E-Mail-Richtlinie des Symantec Encryption Management Server für alle vom Benutzer gesendeten E-Mail-Nachrichten abrufen und durchsetzen. Weitere Informationen über Symantec Encryption Management Server-Profileinstellungen finden Sie in der Dokumentation für Administratoren. IBM Notes-E-Mail Verschlüsselung für Geräte Wenn Ihre Unternehmensumgebung über IBM Notes oder IBM Domino verfügt, können BlackBerry 10-Geräte, auf denen IBM Notes Traveler installiert ist, mithilfe der IBM Notes-E-Mail-Verschlüsselung E-Mail-Nachrichten senden und empfangen. 103 Wie BES12 Ihre Daten während der Übertragung schützt Wenn Benutzer Nachrichten erstellen, weiterleiten oder beantworten, können sie angeben, ob der Notes Traveler-Server die Nachricht vor dem Senden an Empfänger verschlüsseln muss. Geräte und der Notes Traveler-Server senden einander alle Daten über eine TLS-Verbindung. Benutzer können die IBM Notes-E-Mail-Verschlüsselung auf dem Gerät mithilfe der Geräteeinstellungen aktivieren. Mehr Informationen zu den unterstützten Versionen von Notes Traveler finden Sie in der Kompatibilitätsmatrix. Klassifizieren von Meldungen für BlackBerry 10-Geräte Die Nachrichtenklassifizierung ermöglicht es Ihrem Unternehmen, auf BlackBerry 10-Geräten sichere E-Mail-Richtlinien festzulegen und durchzusetzen sowie visuelle Markierungen zu E-Mail-Nachrichten hinzuzufügen. Sie können BES12 verwenden, um Benutzern von BlackBerry 10-Geräten die gleichen Optionen zur Nachrichtenklassifizierung zu bieten, die ihnen auch bei den E-Mail-Anwendungen auf ihrem Computer zur Verfügung stehen. Sie können die folgenden Regeln für ausgehende Nachrichten definieren, basierend auf den Nachrichtenklassifizierungen: • Ein Etikett hinzufügen, um die Nachrichtenklassifizierung zu markieren (z. B. vertraulich) • Eine optische Markierung am Ende der Betreffzeile hinzufügen (z. B. [C]) • Text am Anfang oder am Ende des E-Mail-Textkörpers hinzufügen (z. B. "Diese Nachricht wurde als vertraulich eingestuft") • S/MIME oder PGP-Optionen einstellen (z. B. signieren und verschlüsseln) • Eine Standardklassifizierung einstellen Auf Geräten, auf denen BlackBerry 10 OS-Version 10.3.1 und höher ausgeführt wird, können Sie mithilfe der Nachrichtenklassifizierung festlegen, dass Benutzer E-Mail-Nachrichten signieren, verschlüsseln oder signieren und verschlüsseln müssen oder visuelle Markierungen zu E-Mail-Nachrichten, die sie von ihren Geräten senden, hinzufügen. Sie können BES12 verwenden, um eine Nachrichtenklassifizierungs-Konfigurationsdatei zu bestimmen, die an das Gerät eines Benutzers gesendet wird. Das Gerät interpretiert und implementiert dann den Inhalt der NachrichtenklassifizierungsKonfigurationsdatei. Wenn der Benutzer entweder auf eine E-Mail-Nachricht antwortet, für die die Nachrichtenklassifizierung festgelegt ist, oder eine gesicherte E-Mail-Nachricht erstellt, bestimmt die Nachrichtenklassifizierungskonfiguration die Klassifikationsregeln, die das Gerät für die ausgehende Nachricht durchsetzen muss. Benutzer können die Stufe der Nachrichtenklassifizierung auf ihren Geräten anheben, aber nicht absenken. Die Stufen der Nachrichtenklassifizierung werden von Regeln für sichere E-Mails in jeder Klassifizierung festgelegt. Weitere Informationen zum Konfigurieren der Nachrichtenklassifizierung finden Sie in der Dokumentation für Administratoren und im Artikel KB36736 unter http://support.blackberry.com/kb. 104 Wie BES12 Ihre Daten während der Übertragung schützt Bereitstellen von Geräten mit Zugriff per einmaligem Anmelden im Netzwerk Ihres Unternehmens Sie können die automatische Authentifizierung von Domänen und Webdiensten Ihres Unternehmensnetzwerks im Browser und in anderen Apps auf Geräten mit iOS 7 und höher und im geschäftlichen Bereich auf BlackBerry 10-Geräten automatisch zulassen. Die Authentifizierung für die einmalige Anmeldung kann die Anmeldeinformationen des Benutzers oder das Zertifikat verwenden. Zertifikatsbasierte Authentifizierung wird für BlackBerry 10-Geräte und Geräte mit iOS 8.0 und höher unterstützt. Wenn Sie einem Benutzer ein Profil für die einmalige Anmeldung zuweisen, werden die Anmeldeinformationen des Benutzers auf dem Gerät gespeichert, wenn er zum ersten Mal eine im Profil angegebene Domäne aufruft. Die gespeicherten Anmeldeinformationen des Benutzers werden automatisch verwendet, wenn er versucht, auf die im Profil angegebenen Domänen zuzugreifen. Der Benutzer wird nicht weiter zur Eingabe der Anmeldeinformationen aufgefordert, bis das Kennwort des Benutzers sich ändert oder das Zertifikat abläuft. BES12 unterstützt die folgenden Authentifizierungstypen für die einmalige Anmeldung: Authentifizierungstyp Gilt für Kerberos • BlackBerry 10 • iOS Version 7 und höher NTLM • BlackBerry 10 Zertifikatsbasierte Authentifizierung • BlackBerry 10 • iOS Version 8 und höher Weitere Informationen zum Erstellen von Profilen für die einmalige Anmeldung finden Sie in der Dokumentation für Administratoren. Verwenden von Kerberos für die einmalige Anmeldung auf Geräten Wenn Ihr Unternehmen Kerberos für den Zugriff per einmaliger Anmeldung verwendet, können Benutzer den Zugriff per einmaliger Anmeldung auf die Ressourcen Ihres Unternehmens mithilfe des Browsers und der Apps im geschäftlichen Bereich auf ihren BlackBerry 10-Geräten oder Geräten mit iOS 7 oder höher nutzen. 105 Wie BES12 Ihre Daten während der Übertragung schützt Bei der Verwendung von Kerberos mit Geräten, wenn eine gültige TGT auf den Geräten verfügbar ist, werden Benutzer nicht zur Eingabe der Anmeldeinformationen aufgefordert, wenn sie mithilfe des Browsers und der Apps im geschäftlichen Bereich auf die internen Ressourcen Ihres Unternehmens zugreifen. Wenn die Benutzer über eine VPN-Verbindung mit Ihrem Unternehmen verbunden sind, muss das VPN-Gateway die Übertragung an das KDC zulassen, sodass Benutzer ohne Angabe von Anmeldeinformationen Zugriff haben. Für die Verwendung von Kerberos mit Geräten geben Sie die Kerberos-Konfigurationsdatei Ihres Unternehmens in einem Profil für die einmalige Anmeldung an. Weitere Informationen finden Sie in der Dokumentation für Administratoren. Schützen von Verbindungen zur BES12 mithilfe des BlackBerry Router Der BlackBerry Router ist eine optionale Komponente, die eine Verbindung zu Ihrem Netzwerk herstellt, und für die BlackBerry Infrastructure Daten an BES12 sendet und von dieser empfängt. Der BlackBerry Router agiert als Proxy-Server für Verbindungen über die BlackBerry Infrastructure zwischen BES12 und allen Geräten. Sie können eine Instanz des BlackBerry Router für alle BES5-, BES10 und BES12-Domänen in Ihrer Unternehmensumgebung verwenden. Wenn BES12 einen BlackBerry Router erkennt, ermittelt sie die IP-Adresse des Computers, der den BlackBerry Router hostet und schreibt die IP-Adresse in die BES12-Datenbank. Verwenden eines BlackBerry Router oder eines Proxy-Servers mit BES12 Wenn Sie einen Proxy-Server mit BES12 verwenden möchten, können Sie den BlackBerry Router als Proxy-Server installieren oder einen bereits in der Umgebung installierten TCP-Proxy-Server verwenden. Die Installation des BlackBerry Router oder des Proxy-Servers muss außerhalb der Unternehmens-Firewall in der DMZ erfolgen. Durch die Installation des BlackBerry Router oder eines TCP-Proxy-Server in der DMZ wird die Sicherheit für BES12 zusätzlich erhöht. Nur der BlackBerry Router oder der Proxy-Server stellen von außerhalb der Firewall eine Verbindung zu BES12 her. Alle Verbindungen über die BlackBerry Infrastructure zwischen BES12 und den Geräten werden über den BlackBerry Router oder den Proxy-Server geleitet. 106 Wie BES12 Ihre Daten während der Übertragung schützt Wenn Sie einen TCP-Proxy-Server verwenden möchten, muss es sich um einen transparenten TCP-Proxy-Server handeln, oder die Verwendung von SOCKS v5 (keine Authentifizierung) ist erforderlich. Weitere Informationen zur Planung des Installationsorts für den BlackBerry Router finden Sie in der Dokumentation zu Installation und Upgrade. Weitere Informationen zum Konfigurieren des BlackBerry Router oder eines Proxy-Servers finden Sie in der Dokumentation zur Konfiguration. Installieren von BES12 in einer DMZ Wenn die Sicherheitsrichtlinien Ihres Unternehmens eine detailliertere Kontrolle über die für BES12 zugänglichen Ressourcen erfordern, können Sie BES12 in einer eigenen DMZ installieren. Beispielsweise können Sie den BlackBerry Router oder einen TCP-Proxy-Server in der DMZ Ihres Unternehmens installieren und BES12 in einer separaten DMZ. 107 Wie BES12 Ihre Daten während der Übertragung schützt Weitere Informationen zum Konfigurieren von BES12 bei Installation in einer DMZ finden Sie in der Dokumentation zur Konfiguration. 108 BlackBerry OS-Gerätesicherheit BlackBerry OS-Gerätesicherheit 5 Wenn die BES12-Domäne Ihres Unternehmens BlackBerry OS-Geräte (Version 5.0 bis 7.1) unterstützt, informieren Sie sich in der folgenden Tabelle über weiterführende Informationen zur Sicherheit von BlackBerry OS-Geräten. Besuchen Sie http://help.blackberry.com/en/bes5-for-exchange/ und lesen Sie BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit. Weitere Informationen Ressource Aktivieren und Verwalten der Geräte BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit • Aktivieren eines Geräts • Verwalten der Sicherheit der BlackBerry Enterprise Solution BES12-Dokumentation für Administratoren • Daten während der Übertragung Daten im Ruhezustand IT-Administrationsbefehle BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit • Verschlüsseln der zwischen dem BlackBerry Enterprise Server und einem Gerät gesendeten Daten • Schützen der Kommunikation mit einem Gerät • Schützen der Kommunikation in Ihrer Unternehmensumgebung • Wi-Fi-fähige Geräte • IEEE 802.1X-Standard • Verwenden eines VPN mit einem Gerät • Verwalten von Zertifikaten auf einem Gerät • Schützen von BlackBerry Device Software-Updates • Erweitern der Nachrichtensicherheit für ein Gerät BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit • Schlüssel auf einem Gerät • Gerätespeicher • Schützen von Geräten in Ihrer Unternehmensumgebung für den privaten und geschäftlichen Gebrauch • Schützen von Daten auf einem Gerät 109 BlackBerry OS-Gerätesicherheit Weitere Informationen Apps Ressource • Schützen der vom BlackBerry Enterprise Server in Ihrer Unternehmensumgebung gespeicherten Daten • Konfigurieren der Zwei-Faktor-Authentifizierung und Schützen von BluetoothVerbindungen • Wi-Fi-fähige Geräte • IEEE 802.1X-Standard BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit • Kryptografie Steuern von Anwendungen auf einem Gerät BlackBerry Enterprise Server 5 Technischer Überblick – Sicherheit • RIM-Kryptografie-API 110 Glossar Glossar 6 A2DP Advanced Audio Distribution Profile (erweitertes Audioverteilungsprofil) AES Advanced Encryption Standard (erweiterter Verschlüsselungsstandard) API Application Programming Interface (Anwendungsprogrammierschnittstelle) ARC4 Alleged Rivest's Cipher 4 (Verschlüsselungsverfahren) AVRCP Audio/Video Remote Control Profile (Bluetooth-Profil zur Fernsteuerung von Audio- oder Videogeräten) BES5 BlackBerry Enterprise Server 5 BES10 BlackBerry Enterprise Service 10 BES12 BlackBerry Enterprise Service 12 BES12-Instanz BES12-Instanz bezieht sich auf alle BES12-Komponenten, die auf einem Computer installiert sind, mit Ausnahme des BlackBerry Router, bei dem es sich um eine separat installierte optionale Komponente handelt. Eine BES12-Instanz wird auch manchmal als „Einheit“ bezeichnet. CA Zertifizierungsstelle CAST Carlisle Adams Stafford Tavares (Verschlüsselungsverfahren) CBC Cipher Block Chaining (Geheimtextblockverkettung) CCM Client Certificate Management CRL Certificate Revocation List (Zertifikatwiderrufliste) CSR Certificate Signing Request (Anforderung für die Zertifikatssignatur) DER Distinguished Encoding Rules DES Data Encryption Standard (Datenverschlüsselungsstandard) DISA Defense Information Systems Agency DMZ Eine demilitarisierte Zone (DMZ) ist ein neutrales Subnetzwerk außerhalb der Firewall eines Unternehmens. Sie besteht zwischen dem vertrauenswürdigen Unternehmens-LAN und dem nicht vertrauenswürdigen externen drahtlosen Netzwerk und dem öffentlichen Internet. DoS Denial of Service (Dienstverweigerung) DRBG Deterministischer Zufallsbitgenerator DSA Digital Signature Algorithm (Digitaler Signaturalgorithmus) DTLS Datagram Transport Layer Security ECC Elliptic Curve Cryptography (Kryptographieverfahren basierend auf elliptischer Kurve) 111 Glossar ECDH Elliptic Curve Diffie-Hellman (elliptische Kurve nach Diffie-Hellman) ECDSA Elliptic Curve Digital Signature Algorithm (digitaler Signaturalgorithmus basierend auf elliptischer Kurve) ECMQV Elliptic Curve Menezes-Qu-Vanstone (Kryptographieverfahren basierend auf elliptischer Kurve) EC-SPEKE Elliptic Curve – Simple Password Exponential Key Exchange (einfacher KennwortexponentialSchlüsselaustausch) FIPS Federal Information Processing Standards (US-Standard für die Informationsverarbeitung) GCM Galois/Counter Mode GPS Global Positioning System (Satellitengestütztes Navigations- und Positionsbestimmungssystem) HDMI High-Definition Multimedia Interface HFP Hands-Free Profile (Freisprechprofil) HMAC Keyed-Hash Message Authentication Code (verschlüsselter HashNachrichtenauthentifizierungscode) HTTP Hypertext Transfer Protocol (Hypertextübertragungsprotokoll) HTTPS Hypertext Transfer Protocol over Secure Sockets Layer (HTTP über SSL) IEEE Institute of Electrical and Electronics Engineers IETF Internet Engineering Task Force IP Internet Protocol (Internetprotokoll) IPSec Internet Protocol Security (Internetprotokollsicherheit) IT-Richtlinie Eine IT-Richtlinie besteht aus verschiedenen Regeln, die die Sicherheitsmerkmale und das Verhalten von Geräten steuern. KDC Ein Schlüsselverteilungscenter (KDC) ist ein Server, der die vertrauenswürdige Vermittlerrolle für das Kerberos™-Protokoll ausführt. Der KDC veröffentlicht Diensttickets und verwaltet eine Liste von Tickets, die es veröffentlicht hat. Domänencontroller sind KDCs. LAN Local Area Network (lokales Netzwerk) LDAP Lightweight Directory Access Protocol (Anwendungsprotokoll) MAP Message Access Profile (Nachrichtenzugriffsprofil) MDM Mobile Geräteverwaltung (Mobile Device Management) MIME Multipurpose Internet Mail Extensions (Protokoll für den Austausch von E-Mails über das Internet) MMS Multimedia Messaging Service (Multimedia-Dienst für mobile Geräte) MOS Mobiles Betriebssystem NDES Network Device Enrollment Service (Registrierungsdienst für Netzwerkgeräte) NFC Near Field Communication (Nahfeldkommunikation) 112 Glossar NIAP National Information Assurance Partnership NIST National Institute of Standards and Technology (US-Standardisierungsinstitut) NTLM NT LAN Manager (Authentifizierungsverfahren für Rechnernetze) NVRAM Nonvolatile Random Access Memory OBEX Object Exchange (Objektaustausch) OCSP Online Certificate Status Protocol (Internetprotokoll zur Statusabfrage) OPP Object Push Profile PAN Personal Area Networking PBAP Phone Book Access Profile (Telefonbuch-Zugriffsprofil) PEM Privacy Enhanced Mail PFX Personal Information Exchange (Austausch persönlicher Informationen) PIN Personal Identification Number (Persönliche Identifikationsnummer) PKCS Public Key Cryptography Standards (kryptographische Verschlüsselungsstandards) PKI Public Key Infrastructure (Infrastruktur öffentlicher Schlüssel) PRNG pseudo-zufälliger Zahlengenerator RC Rivest's Cipher (Verschlüsselungsverfahren) RFC Request For Comments (Kommentaranforderungen) S/MIME Secure Multipurpose Internet Mail Extensions (Protokoll für den Austausch sicherer E-Mails über das Internet) SCEP Simple Certificate Enrollment-Protokoll SHA Secure Hash Algorithm (Sicherer Hash-Algorithmus) SMS Short Message Service (Kurznachrichtendienst) SOCKS Socket Secure Bereich Ein Bereich ist eine bestimmte Gerätezone, in der verschiedene Arten von Daten, Anwendungen und Netzwerkverbindungen getrennt und verwaltet werden können. Unterschiedliche Bereiche verfügen über unterschiedliche Regeln zur Datenspeicherung, für Anwendungsberechtigungen und Netzwerkroutings. Bereiche wurden bisher auch als Perimeter bezeichnet. SPP Serial Port Profile SRP Server Routing Protocol SSL Secure Sockets Layer (Netzwerkprotokoll zur sicheren Übertragung von Daten) SSP Secure Simple Pairing TCP Transmission Control Protocol (Übertragungssteuerungsprotokoll) 113 Glossar TCP/IP Transmission Control Protocol/Internet Protocol (Transmission Control-Protokoll/Internetprotokoll) bezeichnet einen Satz von Kommunikationsprotokollen, der für die Datenübertragung über Netzwerke wie das Internet verwendet wird. TGT Das Ticket Granting Ticket (TGT) ist ein Dienstticket, das ein Client eines Kerberos-fähigen Diensts an den TGS sendet, um das Dienstticket für den Kerberos-fähigen Dienst anzufordern. TLS Transport Layer Security (Netzwerkprotokoll zur sicheren Datenübertragung) Triple DES Triple Data Encryption Standard (Verschlüsselungsstandard 3DES) UDP User Datagram Protocol (User Datagram-Protokoll) UID Unique Identifier (eindeutiger Bezeichner) URI Uniform Resource Identifier VPN Virtual Private Network (Virtuelles privates Netzwerk) XTS Auf XEX basierender Tweaked CodeBook Mode (TCB) mit CipherText Stealing (CTS) 114 Rechtliche Hinweise Rechtliche Hinweise 7 ©2016 BlackBerry Limited. Marken, einschließlich, aber nicht beschränkt auf BLACKBERRY, BES, EMBLEM Design, GOOD, GOOD WORK, LOCK Design, MANYME, MOVIRTU, SECUSMART, SECUSMART & Design, SECUSUITE, SECUVOICE, VIRTUAL SIM PLATFORM, WATCHDOX und WORKLIFE sind Marken oder eingetragene Marken von BlackBerry Limited, seinen Tochtergesellschaften und/oder angegliederten Unternehmen, die unter Lizenz verwendet werden. Das exklusive Recht an diesen Marken wird ausdrücklich vorbehalten. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber. Adobe und Reader sind Marken oder eingetragene Marken der Adobe Systems Incorporated in den USA und/oder anderen Ländern. Android, Google, Dalvik und Google Play sind Marken von Google Inc. Apple, App Store, Mac und OS X sind Marken von Apple Inc. Bluetooth ist eine Marke von Bluetooth SIG. Documents To Go ist eine Marke von Dataviz, Inc. DISA ist eine Marke von Defense Information Systems Agency. Entrust ist eine Marke von Entrust, Inc. Evernote ist eine Marke von Evernote Corporation. Facebook ist eine Marke von Facebook, Inc. HDMI ist eine Marke der HDMI Licensing, LLC. IBM, Domino und Notizen sind eingetragene Marken der International Business Machines Corporation in vielen Ländern weltweit. IEEE, 802.11 und 802.1X sind Marken des Institute of Electrical and Electronics Engineers, Inc. iOS ist eine Marke von Cisco Systems, Inc. und/oder seiner angegliederten Unternehmen in den USA und einigen anderen Ländern. iOS® wird unter Lizenz von Apple Inc. verwendet. Kerberos ist eine Marke des Massachusetts Institute of Technology. LinkedIn ist eine Marke der LinkedIn Corporation. Microsoft, Active Directory, ActiveSync und Windows Phone sind Marken oder eingetragene Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Miracast ist eine Marke der Wi-Fi Alliance. NIAP ist eine Marke des National Institute of Standards and Technology. OpenSSL ist eine Marke der The OpenSSL Software Foundation, Inc. OpenTrust ist eine Marke von Open Trust. PGP ist eine Marke der PGP Corporation. RSA ist eine Marke von RSA Security. Samsung, Samsung KNOX und KNOX sind Marken von Samsung Electronics Co., Ltd. Symantec ist eine Marke oder eingetragene Marke der Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern. Twitter ist eine Marke von Twitter, Inc. Wi-Fi ist eine Marke der Wi-Fi Alliance. Windows Phone ist eine Marke oder eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern. Alle weiteren Marken sind Eigentum ihrer jeweiligen Inhaber. Dieses Dokument und alle Dokumente, die per Verweis in dieses Dokument mit einbezogen werden, z. B. alle über die BlackBerry-Webseite erhältlichen Dokumente, werden ohne Mängelgewähr und je nach Verfügbarkeit bereitgestellt. Die entsprechenden Dokumente werden ohne ausdrückliche Billigung, Gewährleistung oder Garantie seitens BlackBerry Limited und seinen angegliederten Unternehmen („BlackBerry“) bereitgestellt. BlackBerry übernimmt keine Verantwortung für eventuelle typografische, technische oder anderweitige Ungenauigkeiten sowie für Fehler und Auslassungen in den genannten Dokumenten. Die BlackBerry-Technologie ist in dieser Dokumentation teilweise in verallgemeinerter Form beschrieben, um das Eigentum und die vertraulichen Informationen und/oder Geschäftsgeheimnisse von BlackBerry zu schützen. BlackBerry behält sich das Recht vor, die in diesem Dokument enthaltenen Informationen von Zeit zu Zeit zu ändern. BlackBerry ist jedoch nicht verpflichtet, die Benutzer über diese Änderungen, Updates, Verbesserungen oder Zusätze rechtzeitig bzw. überhaupt in Kenntnis zu setzen. Diese Dokumentation enthält möglicherweise Verweise auf Informationsquellen, Hardware oder Software, Produkte oder Dienste, einschließlich Komponenten und Inhalte wie urheberrechtlich geschützte Inhalte und/oder Websites von Drittanbietern (nachfolgend "Drittprodukte und -dienste" genannt). BlackBerry hat keinen Einfluss auf und übernimmt keine Haftung für Drittprodukte und -dienste, dies gilt u. a. für Inhalt, Genauigkeit, Einhaltung der Urheberrechtsgesetze, Kompatibilität, Leistung, Zuverlässigkeit, Rechtmäßigkeit, Schicklichkeit, Links oder andere Aspekte der Drittprodukte und - 115 Rechtliche Hinweise dienste. Der Einschluss eines Verweises auf Drittprodukte und -dienste in dieser Dokumentation impliziert in keiner Weise eine besondere Empfehlung der Drittprodukte und -dienste oder des Drittanbieters durch BlackBerry. SOFERN ES NICHT DURCH DAS IN IHREM RECHTSGEBIET GELTENDE RECHT AUSDRÜCKLICH UNTERSAGT IST, WERDEN HIERMIT SÄMTLICHE AUSDRÜCKLICHEN ODER KONKLUDENTEN BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN JEDER ART, EINSCHLIESSLICH, OHNE EINSCHRÄNKUNG, BEDINGUNGEN, BILLIGUNGEN, GARANTIEN, ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN HINSICHTLICH DER HALTBARKEIT, EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER VERWENDUNGSZWECK, MARKTGÄNGIGKEIT, MARKTGÄNGIGEN QUALITÄT, NICHTVERLETZUNG VON RECHTEN DRITTER, ZUFRIEDENSTELLENDEN QUALITÄT ODER DES EIGENTUMSRECHTS ABGELEHNT. DIES GILT AUCH FÜR ZUSICHERUNGEN ODER GEWÄHRLEISTUNGEN, DIE SICH AUS EINEM GESETZ, EINER GEPFLOGENHEIT, USANCEN BZW. HANDELSGEPFLOGENHEITEN ERGEBEN ODER IM ZUSAMMENHANG MIT DER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER MANGELNDEN LEISTUNG VON SOFTWARE, HARDWARE, DIENSTEN ODER DRITTANBIETER-PRODUKTEN UND -DIENSTEN STEHEN, AUF DIE HIER VERWIESEN WIRD. MÖGLICHERWEISE HABEN SIE ZUDEM ANDERE LANDESSPEZIFISCHE RECHTE. IN MANCHEN RECHTSGEBIETEN IST DER AUSSCHLUSS ODER DIE EINSCHRÄNKUNG KONKLUDENTER GEWÄHRLEISTUNGEN UND BEDINGUNGEN NICHT ZULÄSSIG. IN DEM GESETZLICH ZULÄSSIGEN UMFANG WERDEN SÄMTLICHE KONKLUDENTEN GEWÄHRLEISTUNGEN ODER BEDINGUNGEN IM ZUSAMMENHANG MIT DER DOKUMENTATION, DIE EINGESCHRÄNKT WERDEN KÖNNEN, SOFERN SIE NICHT WIE OBEN DARGELEGT AUSGESCHLOSSEN WERDEN KÖNNEN, HIERMIT AUF 90 TAGE AB DATUM DES ERWERBS DER DOKUMENTATION ODER DES ARTIKELS, AUF DEN SICH DIE FORDERUNG BEZIEHT, BESCHRÄNKT. IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS HAFTET BLACKBERRY UNTER KEINEN UMSTÄNDEN FÜR SCHÄDEN JEGLICHER ART, DIE IM ZUSAMMENHANG MIT DIESER DOKUMENTATION ODER IHRER VERWENDUNG, DER LEISTUNG ODER NICHTLEISTUNG JEGLICHER SOFTWARE, HARDWARE, DIENSTE ODER DRITTPRODUKTE UND -DIENSTE, AUF DIE HIER BEZUG GENOMMEN WIRD, STEHEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF DIE FOLGENDEN SCHÄDEN: DIREKTE, VERSCHÄRFTEN SCHADENERSATZ NACH SICH ZIEHENDE, BEILÄUFIG ENTSTANDENE, INDIREKTE, KONKRETE, STRAFE EINSCHLIESSENDE SCHÄDEN, FOLGESCHÄDEN ODER SCHÄDEN, FÜR DIE ANSPRUCH AUF KOMPENSATORISCHEN SCHADENERSATZ BESTEHT, SCHÄDEN WEGEN ENTGANGENEN GEWINNEN ODER EINKOMMEN, NICHTREALISIERUNG ERWARTETER EINSPARUNGEN, BETRIEBSUNTERBRECHUNGEN, VERLUSTES GESCHÄFTLICHER DATEN, ENTGANGENER GESCHÄFTSCHANCEN ODER BESCHÄDIGUNG BZW. VERLUSTES VON DATEN, DES UNVERMÖGENS, DATEN ZU ÜBERTRAGEN ODER ZU EMPFANGEN, PROBLEMEN IM ZUSAMMENHANG MIT ANWENDUNGEN, DIE IN VERBINDUNG MIT BLACKBERRY-PRODUKTEN UND -DIENSTEN VERWENDET WERDEN, KOSTEN VON AUSFALLZEITEN, NICHTVERWENDBARKEIT VON BLACKBERRY-PRODUKTEN UND -DIENSTEN ODER TEILEN DAVON BZW. VON AIRTIMEDIENSTEN, KOSTEN VON ERSATZGÜTERN, DECKUNG, EINRICHTUNGEN ODER DIENSTEN, KAPITAL- ODER ANDERE VERMÖGENSSCHÄDEN, UNABHÄNGIG DAVON, OB SCHÄDEN DIESER ART ABZUSEHEN ODER NICHT ABZUSEHEN WAREN, UND AUCH DANN, WENN BLACKBERRY AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. IN DEM DURCH DAS IN IHREM RECHTSGEBIET ANWENDBARE GESETZ MAXIMAL ZULÄSSIGEN AUSMASS ÜBERNIMMT BLACKBERRY KEINERLEI VERANTWORTUNG, VERPFLICHTUNG ODER HAFTUNG, SEI SIE VERTRAGLICHER, DELIKTRECHTLICHER ODER ANDERWEITIGER NATUR, EINSCHLIESSLICH DER HAFTUNG FÜR FAHRLÄSSIGKEIT UND DER DELIKTSHAFTUNG. DIE IN DIESEM DOKUMENT GENANNTEN EINSCHRÄNKUNGEN, AUSSCHLÜSSE UND HAFTUNGSAUSSCHLÜSSE GELTEN: (A) UNGEACHTET DER VON IHNEN ANGEFÜHRTEN KLAGEGRÜNDE, FORDERUNGEN ODER KLAGEN, EINSCHLIESSLICH, ABER NICHT BESCHRÄNKT AUF VERTRAGSBRUCH, FAHRLÄSSIGKEIT, ZIVILRECHTLICHER DELIKTE, DELIKTSHAFTUNG ODER SONSTIGE RECHTSTHEORIE UND SIND AUCH NACH EINEM WESENTLICHEN VERSTOSS BZW. EINEM FEHLENDEN GRUNDLEGENDEN ZWECK DIESER VEREINBARUNG ODER EINES DARIN ENTHALTENEN RECHTSBEHELFS WIRKSAM; UND 116 Rechtliche Hinweise GELTEN (B) FÜR BLACKBERRY UND DIE ZUGEHÖRIGEN UNTERNEHMEN, RECHTSNACHFOLGER, BEVOLLMÄCHTIGTEN, VERTRETER, LIEFERANTEN (EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN), AUTORISIERTE BLACKBERRYDISTRIBUTOREN (EBENFALLS EINSCHLIESSLICH AIRTIME-DIENSTANBIETERN) UND DIE JEWEILIGEN FÜHRUNGSKRÄFTE, ANGESTELLTEN UND UNABHÄNGIGEN AUFTRAGNEHMER. ZUSÄTZLICH ZU DEN OBEN GENANNTEN EINSCHRÄNKUNGEN UND AUSSCHLÜSSEN HAFTEN DIE FÜHRUNGSKRÄFTE, ANGESTELLTEN, VERTRETER, DISTRIBUTOREN, LIEFERANTEN, UNABHÄNGIGEN AUFTRAGNEHMER VON BLACKBERRY ODER BLACKBERRY ANGEHÖRENDEN UNTERNEHMEN IN KEINER WEISE IM ZUSAMMENHANG MIT DER DOKUMENTATION. Bevor Sie Drittprodukte bzw. -dienste abonnieren, installieren oder verwenden, müssen Sie sicherstellen, dass Ihr Mobilfunkanbieter sich mit der Unterstützung aller zugehörigen Funktionen einverstanden erklärt hat. Einige Mobilfunkanbieter bieten möglicherweise keine Internet-Browsing-Funktion in Zusammenhang mit einem Abonnement für BlackBerry® Internet Service an. Erkundigen Sie sich bei Ihrem Dienstanbieter bezüglich Verfügbarkeit, Roaming-Vereinbarungen, Service-Plänen und Funktionen. Für die Installation oder Verwendung von Drittprodukten und -diensten mit den Produkten und Diensten von BlackBerry sind u. U. Patent-, Marken-, Urheberrechts- oder sonstige Lizenzen erforderlich, damit die Rechte Dritter nicht verletzt werden. Es liegt in Ihrer Verantwortung, zu entscheiden, ob Sie Drittprodukte und -dienste verwenden möchten, und festzustellen, ob hierfür Lizenzen erforderlich sind. Für den Erwerb etwaiger Lizenzen sind Sie verantwortlich. Installieren oder verwenden Sie Drittprodukte und -dienste erst nach dem Erwerb aller erforderlichen Lizenzen. Alle Drittprodukte und -dienste, die Sie mit Produkten und Diensten von BlackBerry erhalten, werden lediglich zu Ihrem Vorteil, ohne Mängelgewähr und ohne ausdrückliche oder stillschweigende Bedingung, Billigung, Garantie, Zusicherung oder Gewährleistung jedweder Art von BlackBerry bereitgestellt. BlackBerry übernimmt in diesem Zusammenhang keinerlei Haftung. Die Verwendung von Drittprodukten und -diensten unterliegt Ihrer Zustimmung zu den Bedingungen separater Lizenzen und anderer geltender Vereinbarungen mit Dritten, sofern sie nicht ausdrücklich von einer Lizenz oder anderen Vereinbarung mit BlackBerry behandelt wird. Die Nutzungsbedingungen für BlackBerry-Produkte und -Dienste werden in einer entsprechenden separaten Lizenz oder anderen Vereinbarung mit BlackBerry dargelegt. KEINE DER IN DIESER DOKUMENTATION DARGELEGTEN BESTIMMUNGEN SETZEN IRGENDWELCHE AUSDRÜCKLICHEN SCHRIFTLICHEN VEREINBARUNGEN ODER GEWÄHRLEISTUNGEN VON BLACKBERRY FÜR TEILE VON BLACKBERRY-PRODUKTEN ODER -DIENSTEN AUSSER KRAFT. BlackBerry Enterprise Software umfasst spezifische Drittanbietersoftware. Die Lizenz und Copyright-Informationen für diese Software sind verfügbar unter: http://worldwide.blackberry.com/legal/thirdpartysoftware.jsp. BlackBerry Limited 2200 University Avenue East Waterloo, Ontario Canada N2K 0A7 BlackBerry UK Limited 200 Bath Road Slough, Berkshire SL1 3XE United Kingdom Veröffentlicht in Kanada 117